93662909 Active Directory Volume2

P R O D U I T O F F I C I E L D E F O R M A T I O N M I C R O S O F T

6238B Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Volume 2

N'oubliez pas d'accéder au contenu de formation supplémentaire du CD-ROM d'accompagnement du cours qui se trouve au dos de votre livre.

Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 xv

Table des matières Module 10 : Configuration du système DNS

Leçon 1 : Concepts, composants et processus DNS 10-4 Leçon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS 10-26 Atelier pratique A : Installation du service DNS 10-39 Leçon 3 : AD DS, DNS et Windows 10-44 Leçon 4 : Configuration et administration avancées du système DNS 10-69 Atelier pratique B : Configuration avancée du système DNS 10-83

Module 11 : Administration des contrôleurs de domaine des services de domaine Active Directory® (AD DS)

Leçon 1 : Options d'installation des contrôleurs de domaine 11-4 Atelier pratique A : Installation des contrôleurs de domaine 11-33 Leçon 2 : Installation d'un contrôleur de domaine Server Core 11-41 Atelier pratique B : Installation d'un contrôleur de domaine Server Core 11-50 Leçon 3 : Gestion des maîtres d'opérations 11-55 Atelier pratique C : Transfert des rôles Maîtres d’opérations 11-74 Leçon 4 : Configuration de la réplication FS-R de SYSVOL 11-79 Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL 11-87

Module 12 : Gestion des sites et de la réplication Active Directory Leçon 1 : Configuration des sites et des sous-réseaux 12-4 Atelier pratique A : Configuration des sites et des sous-réseaux 12-23 Leçon 2 : Configuration des partitions d'application et du catalogue global 12-27 Atelier pratique B : Configuration des partitions d'application et du catalogue global 12-42 Leçon 3 : Configuration de la réplication 12-48 Atelier pratique C : Configuration de la réplication 12-75

xvi Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Module 13 : Continuité du service d'annuaire Leçon 1 : Surveillance d'Active Directory 13-4 Atelier pratique A : Surveillance des événements et des performances d'Active Directory 13-29 Leçon 2 : Gestion de la base de données Active Directory 13-48 Atelier pratique B : Gestion de la base de données Active Directory 13-66 Leçon 3 : Sauvegarde et restauration des services AD DS et des contrôleurs de domaine 13-74 Atelier pratique C : Sauvegarde et restauration d'Active Directory 13-89

Module 14 : Gestion de plusieurs domaines et forêts Leçon 1 : Configuration des niveaux fonctionnels des domaines et des forêts 14-4 Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forêts 14-16 Leçon 2 : Gestion de plusieurs domaines et des relations d'approbation 14-23 Atelier pratique B : Administration d'une relation d'approbation 14-70

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT

Configuration du système DNS 10-1

Module 10 Configuration du système DNS

Table des matières : Leçon 1 : Concepts, composants et processus DNS 10-4

Leçon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS 10-26

Atelier pratique A : Installation du service DNS 10-39

Leçon 3 : AD DS, DNS et Windows 10-44

Leçon 4 : Configuration et administration avancées du système DNS 10-69

Atelier pratique B : Configuration avancée du système DNS 10-83

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT

10-2 Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Vue d'ensemble du module

Windows® et les services Active Directory® dépendent fortement du système DNS (Domain Name System, ou Système de nom de domaine). Vous êtes très certainement familiarisé avec le système DNS car vous l'utilisez déjà en tant qu'informaticien qui assiste les utilisateurs, les applications, les services et les systèmes qui en dépendent. Dans ce module, vous allez découvrir comment implémenter DNS pour prendre en charge la résolution des noms au sein de votre domaine Active Directory Domain Services (AD DS) et hors de votre domaine et de votre réseau intranet.

Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• comprendre la structure, les rôles et le fonctionnement du système DNS ;

• décrire les processus de résolution des noms de client et de serveur ;

• installer le service DNS ;

• gérer les enregistrements DNS ;

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• configurer les paramètres du serveur DNS ;

• comprendre l'intégration entre AD DS et DNS ;

• choisir un domaine DNS pour un domaine Active Directory ;

• créer une délégation de zone pour un nouveau domaine Active Directory ;

• configurer la réplication pour des zones intégrées à Active Directory ;

• décrire l'objectif des enregistrements Service Locator (SRV) dans le processus de localisation des contrôleurs de domaine ;

• comprendre le fonctionnement des serveurs DNS en lecture seule ;

• comprendre et configurer la résolution des noms en une partie ;

• configurer les paramètres avancés du serveur DNS ;

• auditer, gérer et dépanner le rôle de serveur DNS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 1 Concepts, composants et processus DNS

Le système DNS est un composant indispensable et sensible pour une entreprise Windows. Dans cette leçon, vous allez revoir le rôle, la structure et le fonctionnement du système DNS. Vous allez également examiner de manière approfondie les processus utilisés pour résoudre les requêtes DNS. Bien que la plupart de ces informations puissent vous sembler familières, cette leçon permettra de s'assurer que vous connaissez parfaitement les concepts et la terminologie du système DNS.

Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• comprendre la structure, les rôles et le fonctionnement du système DNS ;

• décrire les processus de résolution des noms de client et de serveur ;

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pourquoi utiliser le système DNS ?

Points clés DNS sert à répondre aux requêtes des clients qui demandent des informations sur les services et les systèmes distants. La plupart du temps, DNS sert à répondre à un client qui demande l'adresse d'un certain nom DNS.

Les utilisateurs, et donc les applications, ont tendance à préférer employer des noms pour faire référence à des systèmes. Les ordinateurs, pour leur part, se localisent mutuellement par leurs adresses IP. Le système DNS sert à convertir ou « résoudre » les noms en adresses. Par exemple, si un utilisateur affiche http://technet.microsoft.com dans son navigateur, le nom technet.microsoft.com doit être converti pour obtenir l'adresse IP du serveur Web concerné. Le client interroge son serveur DNS et, suite à une série de processus qui seront expliqués tout au long de cette leçon, le serveur DNS renvoie l'adresse IP du serveur Web : 207.46.16.252.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Hiérarchie du système DNS

Points clés Les noms utilisés dans le système DNS créent une hiérarchie, depuis une racine et en passant à travers une série d'espaces de noms appelés domaines pour atteindre un enregistrement individuel conduisant à un service ou un système (hôte). Pour les êtres humains, un nom tel que technet.microsoft.com se lit de gauche à droite, de sa partie la plus spécifique (le nom de l'hôte individuel), technet, jusqu'à sa partie la plus générique, com. Le nom peut être résolu en partant de la racine de l'espace de noms DNS jusqu'à la partie générique, le domaine du niveau supérieur (com), jusqu'au domaine plus générique (microsoft) pour arriver au nom d'hôte le plus spécifique (technet).

Les domaines du niveau supérieur (Top-level domains ou TLD) tels que .com sont réglementés de manière très stricte par les autorités qui régissent le réseau Internet. Il existe un nombre limité de TLD, dont .com, .net, .org, .gov, .mil et .edu. Chaque pays possède également son propre TLD respectant sur les normes ISO, par exemple .us, .ca, .uk, .fr et .za.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Au-dessus de chacun de ces TLD se trouve la racine de l'espace de noms DNS, qui est représentée par un point (« . »). Le point représentant la racine est généralement ignoré dans les noms DNS. Cependant, il est intéressant de savoir que le nom technet.microsoft.com pourrait être représenté plus précisément par technet.microsoft.com., avec son point final.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Zones

Points clés Pour qu'un serveur DNS puisse résoudre les requêtes des clients, par exemple en renvoyant l'adresse IP d'un autre ordinateur, ce serveur DNS doit posséder une base de données. Cette base de données est appelée zone. Une zone est une base de données qui prend en charge la résolution d'une certaine partie de l'espace de noms DNS, en commençant par un domaine spécifique tel que contoso.com.

Un serveur qui héberge une zone pour un domaine est qualifié de serveur faisant autorité pour ce domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Enregistrements de ressource

Points clés Au sein d'une zone (la base de données DNS) se trouvent des enregistrements appelés Enregistrements de ressource ou RR (Resource Records).

Il existe plusieurs types d'enregistrements de ressource, notamment :

• Enregistrements d'adresse (A ou AAAA) (également appelés Hôte) : ces enregistrements résolvent un nom en adresse IP. Ils sont utilisés dans la requête DNS standard que vous associez au système DNS. Les enregistrements A convertissent un nom en adresse IPv4. Les enregistrements AAAA convertissent un nom en adresse IPv6.

• Les enregistrements à nom canonique (CNAME) (également appelés Alias) : ces enregistrements font correspondre un alias avec un autre nom complet. Les enregistrements d'alias vous permettent d'associer plusieurs noms à un seul serveur. Ils vous évitent de devoir mettre à jour manuellement chaque enregistrement lorsque l'adresse IP du serveur change. Il vous suffit de modifier l'enregistrement A du serveur, et tous les enregistrements CNAME (faisant référence au serveur par son nom et non son adresse) continueront de fonctionner.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Enregistrements de serveur de messagerie (MX) : l'enregistrement MX contient le nom du serveur de messagerie d'un domaine. Vous pouvez considérer l'enregistrement MX comme un type d'alias, mais l'alias est toujours appelé MX. Ainsi, quelle que soit la langue ou la convention d'appellation utilisée par un domaine, son serveur de messagerie peut toujours être localisé par une requête de MX.domain.

• Enregistrements du Service de nom (NS) : ces enregistrements pointent vers les serveurs DNS faisant autorité pour un domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Gestion des enregistrements de ressource

Points clés Les enregistrements des ressources d'une zone peuvent être créés et gérés manuellement par un administrateur.

Sinon, des mises à jour dynamiques peuvent être activées, au travers des systèmes capables d'inscrire leurs propres enregistrements DNS.

Si une zone est configurée pour les mises à jour dynamiques, il existe un risque de création d'enregistrements non autorisés. Par exemple, un individu peut créer un enregistrement appelé www et pointant vers un serveur autre que le serveur Web approprié pour un domaine. Il est alors question d'usurpation.

Pour réduire les risques d'usurpation, le système DNS de Windows Server prend en charge les mises à jour dynamiques sécurisées. Pour pouvoir actualiser la zone DNS, les clients doivent s'authentifier auprès du domaine et ne peuvent mettre à jour que leurs propres enregistrements DNS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Réplication d'une zone

Points clés La base de données DNS, ou zone, est un composant important de toute infrastructure réseau. Comme tous les autres services sensibles, chaque organisation doit s'efforcer de posséder deux serveurs DNS disponibles pour ses clients afin de bénéficier de la redondance.

La base de données DNS peut être stockée et répliquée dans plusieurs serveurs DNS de l'une des deux manières suivantes :

• Comme les autres implémentations DNS traditionnelles, les serveurs DNS Windows peuvent stocker une zone dans un fichier. Un seul serveur DNS peut écrire dans la zone : celui qui héberge la zone principale. Les autres serveurs DNS copient la zone et en créent une copie en lecture seule appelée zone secondaire. Le processus de copie de la zone est appelé transfert de zone. Tout serveur DNS hébergeant une zone secondaire a besoin d'autorisations pour accéder au serveur à partir duquel il copie la zone.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Lorsque des zones DNS sont hébergées par des contrôleurs de domaine, vous avez la possibilité de stocker leur contenu dans Active Directory lui-même, ce qui crée une zone intégrée à Active Directory. Les données de zone sont répliquées avec la même méthode multiples maîtres que les autres données Active Directory. Ceci s'avère particulièrement important lorsque les mises à jour dynamiques sont activées. En effet, les clients inscriront leurs enregistrements avec leur principal serveur DNS, qui est interne à leur site. Toute zone peut également être répliquée de manière incrémentielle : seuls les enregistrements qui ont été modifiés sont répliqués. Cette méthode est nettement plus efficace que le transfert de zone traditionnel de la totalité du fichier.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Sous-domaines

Points clés Comme nous l'avons mentionné précédemment, toute zone prend en charge la résolution d'une partie spécifique de l'espace de noms DNS, commençant par un domaine tel que contoso.com. Vous pouvez créer des sous-domaines dans une partie de l'espace de noms DNS pour laquelle vous faites autorité. Par exemple, si vous gérez l'espace de noms contoso.com, vous pouvez créer un sous-domaine appelé europe.contoso.com.

Il existe trois options pour créer un sous-domaine tel que europe.contoso.com :

• Sous-domaine : une zone démarre au niveau d'un domaine et peut contenir un ou plusieurs sous-domaines. Si une zone contient un sous-domaine, elle comprend tous les enregistrements nécessaires pour la résolution de ce sous-domaine, et le serveur DNS fait autorité pour ce sous-domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Délégation : une délégation est un « lien » vers un sous-domaine, créé par un ou plusieurs enregistrements NS pointant vers un ou plusieurs serveurs de noms faisant autorité pour ce sous-domaine. Tout enregistrement NS pointe vers un nom ou une adresse IP du serveur de noms d'un sous-domaine. Si l'enregistrement NS pointe vers un nom, il doit également y avoir un enregistrement hôte (A) pour le serveur du domaine parent. Les enregistrements NS sont générés lorsque vous créez la délégation. Cependant, si vous devez changer les adresses IP ou les noms des serveurs de l'espace de noms, vous devez mettre les enregistrements NS à jour manuellement.

• Zone de stub : une zone de stub est très similaire à une délégation. Cependant, les enregistrements NS qui pointent vers le serveur de noms sont mis à jour automatiquement dans la zone parente. Cela semble idéal pour gérer les sous-domaines hébergés dans des serveurs DNS distincts, et les zones de stub conviennent parfaitement dans de nombreux environnements. Toutefois, la mise à jour automatique des enregistrements NS exige que le port TCP 53 soit ouvert entre les serveurs de noms hôtes (parents) et tous les serveurs de noms du domaine enfant. Si l'ouverture du port TCP 53 est impossible, vous devez la remplacer par une délégation standard.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Placement des serveurs et des zones DNS

Points clés Dans tout environnement contenant plusieurs domaines, vous pouvez décider de placer des zones et des serveurs DNS de manière à optimiser la résolution des noms pour les clients, le trafic de réplication et la surcharge administrative.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


À gauche de l'illustration, il est possible de voir que la zone parente possède une délégation ou un domaine de stub qui pointe vers les serveurs de noms du domaine enfant. Les demandes d'enregistrements du domaine enfant sont résolues par le serveur DNS qui fait autorité pour ce domaine enfant. Les serveurs de noms peuvent se trouver en Europe afin de prendre en charge les requêtes des clients pour les serveurs et les services basés en Europe.

À droite de l'illustration, il est possible de voir que les serveurs DNS hébergent une seule zone qui comprend un sous-domaine pour le domaine enfant. Cette structure augmente le trafic de réplication entre les deux serveurs DNS. Cependant, quel que soit leur emplacement, les clients sont capables de résoudre les noms de tous les domaines à partir du serveur DNS qui fait autorité pour leur emplacement géographique.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Client DNS (Solveur)

Points clés Maintenant que vous savez comment l'espace des noms DNS est hébergé dans les zones des serveurs DNS et comment les domaines enfants sont pris en charge grâce à des délégations, des sous-domaines ou des zones de stub, vous êtes prêt à examiner en détail la manière dont un nom est résolu ou converti en adresse IP.

Lorsqu'une application cliente, telle que Microsoft® Internet Explorer®, doit se connecter à un hôte comme technet.microsoft.com, elle appelle l'API GetAddrInfo(), qui transmet le nom de l'hôte au service Client DNS.

Le service Client DNS commence par vérifier le cache de résolution DNS (base de données locale et gérée dynamiquement au niveau du client) pour savoir si ce nom a déjà été résolu précédemment. Le cache de résolution DNS est préchargé avec le contenu du fichier HOSTS (%systemroot%\system32\drivers\etc\hosts) lorsque le cache est initialisé durant le démarrage du Client DNS et lorsque le fichier HOSTS est modifié. Dès qu'un nom est résolu avec succès, il est ajouté au cache de résolution DNS. Ainsi, la capacité du client DNS à résoudre les noms localement augmente avec le temps.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Chaque enregistrement de ressource (RR) contient une valeur de durée de vie (TTL, time-to-live) qui détermine pendant combien de temps l'enregistrement va demeurer dans le cache. Lorsque sa valeur TTL est atteinte, l'enregistrement est retiré du cache.

Vous pouvez utiliser la commande ipconfig /displaydns pour examiner le contenu du cache de résolution DNS local, et la commande ipconfig /flushdns pour vider le cache et le recharger avec le contenu du fichier HOSTS.

Il est important de savoir que, si un client interroge un serveur DNS pour obtenir un enregistrement de l'hôte et que le serveur DNS renvoie une réponse négative, qui indique que l'enregistrement est introuvable, cette réponse négative est également mise en cache. Si vous créez un enregistrement hôte au niveau du serveur DNS et que vous réitérez la requête, le client échouera car il continue à récupérer cette réponse négative dans son cache jusqu'à ce qu'elle en soit supprimée. Dans ce cas, la commande ipconfig /flushdns peut servir à forcer le client à réinterroger le serveur DNS.

Vous pouvez utiliser la commande nslookup.exe pour interroger directement un serveur DNS, en contournant le cache de résolution DNS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Requête envoyée à un serveur DNS

Points clés Si le service client DNS ne parvient pas à résoudre la requête à l'aide du cache de résolution DNS, il interroge le serveur DNS principal. La requête spécifie le type de l'enregistrement demandé (par exemple, une adresse, un hôte ou un enregistrement A) et le nom de l'enregistrement demandé (par exemple, technet.microsoft.com).

La requête envoyée au serveur DNS spécifie également si le client présente une requête itérative ou récursive. Les requêtes récursives sont les plus courantes. Elles sont envoyées par un client Windows à son serveur DNS. Les requêtes récursives demandent au serveur DNS de renvoyer une réponse définitive. Lorsqu'un serveur DNS reçoit une requête récursive, il interroge à son tour d'autres serveurs DNS à l'aide d'un processus qui sera décrit dans la prochaine section, jusqu'à ce qu'il soit en mesure de résoudre la requête de son client. Si le serveur DNS est incapable de résoudre la requête de son client, il renvoie une réponse négative, indiquant que le système de noms de domaine n'a aucun enregistrement correspondant à cette requête.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Si le serveur DNS principal renvoie une réponse négative, indiquant que ce nom ne peut pas être résolu, le client DNS n'interroge pas le serveur DNS secondaire. Les autres serveurs DNS ne sont interrogés que si le serveur DNS principal n'est pas disponible. C'est pourquoi il est important de s'assurer que chaque serveur DNS soit en mesure de résoudre toutes les requêtes de tous les clients qui lui envoient des requêtes.

Les clients ont la possibilité d'envoyer une requête itérative. Le serveur DNS tente alors de résoudre la requête localement, à l'aide des processus qui seront décrits dans la prochaine section, et renvoie une résolution (le cas échéant) ou renvoie les informations les plus utiles dont il dispose.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Résolution par le serveur DNS

Points clés Dès qu'il reçoit une requête d'un client, le serveur DNS commence par vérifier les zones hébergées localement. S'il y trouve une résolution, il la renvoie au client sous forme de réponse faisant autorité.

S'il n'y trouve aucune réponse, il vérifie alors ses Recherches mises en cache. À l'instar du client DNS, le serveur DNS construit un cache contenant les enregistrements des ressources déjà résolues. Ce cache est initialisé au démarrage du serveur et est alimenté par les enregistrements de ressource (RR) au fur et à mesure de leur résolution par les autres serveurs DNS. Chaque enregistrement est purgé dès que sa durée TTL est atteinte.

Si une résolution est découverte dans le cache, elle est renvoyée sous forme de réponse positive.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Si aucune résolution n'est détectée et que le client a envoyé une requête itérative, le serveur DNS fait de son mieux et renvoie les informations les plus pertinentes dont il dispose. Par exemple, le serveur DNS n'a peut-être pas d'enregistrement RR mis en cache pour l'hôte demandé par le client, mais il peut en avoir un pour le serveur de noms du domaine parent de cet hôte. Dans le pire des cas, le serveur DNS peut indiquer au client de se référer à la liste des serveurs de noms de la racine : c'est-à-dire les serveurs DNS qui hébergent la racine (".") de l'espace de noms DNS. Le client accepte toute information renvoyée par le serveur DNS dans le cadre d'une requête itérative et exploite ces informations pour continuer à s'efforcer de résoudre le nom demandé.

Si le client a demandé une requête récursive, le serveur DNS poursuit son travail avec les processus décrits dans la prochaine section.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Récursivité

Points clés Si le client a demandé une requête récursive, le serveur DNS poursuit son traitement de la requête pour tenter de la résoudre. En réalité, le serveur DNS transmet la requête par proxy de la part du client. Il est alors question de récursivité.

Dans l'exemple de récursivité le plus extrême, le serveur DNS vient de démarrer et son cache est vide. Il ne dispose d'aucun enregistrement NS mis en cache pour les serveurs de noms microsoft.com ou même .com.

Dans ce cas, le serveur DNS commence par interroger les serveurs DNS de la racine. Le serveur DNS possède la liste de ces serveurs de racine dans ses « indications de racine ». Il envoie alors au serveur DNS racine une requête itérative pour demander technet.microsoft.com.

Les serveurs DNS de la racine ne peuvent pas résoudre technet.microsoft.com. Cependant, ils possèdent dans leur zone les enregistrements NS des serveurs de noms du domaine .com. Ils renvoient alors ces informations en tant que référence. Voici un bon exemple de requête itérative : le serveur DNS racine renvoie sa meilleure estimation et le client (dans ce cas, un serveur DNS) continue le processus.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Ensuite, le serveur DNS envoie une autre requête itérative au serveur de noms du domaine .com. Là encore, le serveur ne parvient pas à résoudre technet.microsoft.com, mais il peut fournir des enregistrements NS pour microsoft.com comme référence.

Grâce à cette référence, le serveur DNS interroge le serveur de noms du domaine microsoft.com. Ce serveur DNS fait autorité (il héberge une zone) ou microsoft.com, et il est en mesure de renvoyer une correspondance exacte pour l'enregistrement de l'hôte technet.microsoft.com.

Le serveur DNS met cette résolution en cache et la renvoie au client sous forme de réponse positive.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 2 Installation et configuration d'un système DNS dans un domaine AD DS

Maintenant que vous avez révisé les concepts, la terminologie et les processus du système DNS et de la résolution des noms, vous êtes prêt à installer et configurer le rôle de serveur DNS dans un domaine AD DS.


• installer le service DNS ;

• ajouter des zones DNS ;

• gérer les enregistrements DNS ;

• configurer les paramètres du serveur DNS ;

• configurer les paramètres du client DNS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation et gestion du rôle de serveur DNS

Points clés Le rôle de serveur DNS n'est pas installé par défaut dans Windows Server 2008. Comme d'autres fonctionnalités, il est ajouté lorsqu'un serveur est configuré pour tenir ce rôle.

Vous pouvez installer le rôle de serveur DNS à l'aide du lien Ajouter un rôle qui apparaît dans le Gestionnaire de serveur.

Le rôle de serveur DNS peut également être ajouté automatiquement par l'Assistant Installation des services de domaine Active Directory (dcpromo.exe). Dans cet Assistant, la page relative aux options du contrôleur de domaine vous permet d'ajouter le rôle de serveur DNS.

Lorsque le rôle de serveur DNS sera installé, vous disposerez du composant logiciel enfichable DNS Manager pour l'ajouter à vos consoles administratives. Ce composant logiciel enfichable est également ajouté automatiquement aux consoles Server Manager et DNS Manager (dnsmgmt.msc). Pour administrer un serveur DNS distant, ajoutez les outils Remote Server Administrative à votre station de travail administrative fonctionnant sous Windows Vista® SP1 ou une version plus récente.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


L'outil administratif de ligne de commande dnscmd.exe est également ajouté. DNSCmd peut servir à créer des scripts et à automatiser la configuration du système DNS. Pour obtenir de l'aide, tapez dnscmd.exe /? à l'invite de commande.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Création d'une zone

Points clés Après l'installation d'un serveur DNS, vous pouvez commencer à lui ajouter des zones.

Pour créer une zone, cliquez du bouton droit sur le nœud Zones de recherche directe dans l'arborescence de la console et choisissez Nouvelle zone. L'Assistant Nouvelle zone vous guide tout au long de la procédure de création d'une zone.

Vous pourrez choisir parmi les trois types de zones :

• Zone principale : le serveur DNS pourra écrire dans cette zone.

• Zone secondaire : le serveur DNS assurera la maintenance d'une copie d'une zone hébergée par un autre serveur DNS. La zone secondaire est en lecture seule.

• Zone de stub : le serveur DNS assurera la maintenance de la liste des serveurs de noms d'un autre domaine. Les zones de stub sont traités en détail plus loin dans ce module.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous pouvez également choisir de stocker les données de la zone dans Active Directory si le serveur DNS est un contrôleur de domaine. Cela crée une zone intégrée à Active Directory, sujet qui sera traité ultérieurement dans ce module. Si vous désactivez cette option, les données de la zone seront stockées dans un fichier et non dans Active Directory.

Après avoir choisi le type de votre zone, vous êtes invité à saisir son nom ou nom complet du domaine de la zone.

S'il s'agit d'une zone principale, vous pouvez choisir le mode de gestion des mises à jour, comme décrit à la prochaine section.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Création d'une zone avec mise à jour dynamique

Points clés Lorsque vous créez une zone, vous êtes invité à spécifier si les mises à jour dynamiques sont prises en charge. Les mises à jour dynamiques réduisent la charge de gestion d'une zone. En effet, les clients peuvent ajouter, supprimer et mettre à jour leurs propres enregistrements de ressource.

Les mises à jour dynamiques laissent la porte ouverte aux risques d'usurpation des enregistrements de ressource. Par exemple, un ordinateur peut inscrire un enregistrement appelé www et rediriger efficacement le trafic de votre serveur Web vers une adresse incorrecte.

Pour éliminer les risques d'usurpation, le service de serveur DNS de Windows Server 2008 prend en charge les mises à jour dynamiques sécurisées. Tout client doit s'authentifier avant de mettre ses enregistrements de ressource à jour. Ainsi, le serveur DNS sait si le client est un ordinateur autorisé à modifier les enregistrements de ressource.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Création d'enregistrements de ressource

Points clés Dans la plupart des environnements, le besoin d'ajouter des enregistrements de ressource à une zone se présentera souvent, même si les mises à jour dynamiques sont activées.

Pour créer un enregistrement de ressource, cliquez du bouton droit sur la zone concernée et choisissez le type d'enregistrement à créer. La boîte de dialogue qui apparaît contient les contrôles de saisie appropriés au type d'enregistrement que vous ajoutez.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Configuration de serveurs DNS redondants

Points clés Toute entreprise doit s'efforcer d'obtenir une zone qui puisse être résolue de manière faisant autorité par au moins deux serveurs DNS.

Si votre zone est intégrée à Active Directory, il vous suffit d'ajouter le rôle de serveur DNS à un autre contrôleur de domaine du même domaine comme premier serveur DNS. Les zones intégrées à Active Directory et la réplication de la zone DNS par AD DS sont décrites dans la prochaine leçon.

Si votre zone n'est pas intégrée à Active Directory, vous devez ajouter un autre serveur DNS et le configurer pour qu'il héberge une zone secondaire. N'oubliez pas qu'une zone secondaire est une copie en lecture seule de la zone principale.

La première étape de ce processus consiste à configurer la zone elle-même de sorte qu'elle fasse référence aux serveurs secondaires en tant que serveurs de noms de votre zone. Ajoutez les enregistrements NS des serveurs secondaires à la zone parente.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Un serveur secondaire va copier la zone à partir d'un autre serveur DNS, appelé le serveur maître. Le serveur maître n'a pas besoin d'être le serveur principal. Cependant, utiliser la zone principale comme serveur maître présente des avantages évidents. En effet, cela réduit la latence de réplication des mises à jour des enregistrements dans les serveurs secondaires.

Le serveur maître doit autoriser les serveurs secondaires à se connecter et à déclencher un transfert de zone. Vous configurez cela dans l'onglet Transferts de zone des propriétés de la zone au niveau du serveur maître, comme suit :

Vous pouvez ajouter la zone secondaire aux zones de recherche directe du serveur secondaire. Le serveur secondaire est configuré pour répliquer la zone à partir du serveur maître.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Configuration des redirecteurs

Points clés Dans la leçon 1, vous avez appris qu'un serveur DNS tente de résoudre la requête d'un client à l'aide de ses zones locales et de son cache. S'il n'y parvient pas et que la requête envoyée est récursive, le serveur DNS exécute alors la requête de la part du client.

La première méthode pour configurer un serveur DNS de sorte qu'il exécute efficacement une requête récursive consiste à lui ajouter des redirecteurs. Les redirecteurs sont des pointeurs vers d'autres serveurs DNS. En général, ces serveurs sont hébergés par votre opérateur Internet (ISP) ou il s'agit de serveurs DNS placés en amont dans l'infrastructure DNS de votre entreprise. Par exemple, votre domaine Active Directory peut utiliser le service Windows DNS Server pour résoudre les noms au sein de ce domaine, puis transmettre les requêtes à vos serveurs DNS, qui hébergent les zones des autres domaines de l'entreprise.

Les redirecteurs sont similaires aux serveurs DNS que vous configurez dans les propriétés IP d'une connexion réseau. Cette liste de serveurs DNS est utilisée par le service Client DNS. Elle n'est pas communiquée au service Serveur DNS. Les redirecteurs ont le même objectif que le service Serveur DNS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Si aucun redirecteur n'est configuré, le serveur tente d'interroger un serveur de noms pour obtenir la racine de l'espace de noms DNS (« . »). Ces serveurs racine sont gérés en tant qu'indications de racine. Bien que les serveurs de noms DNS de la racine ne changent pas fréquemment, cela peut arriver parfois. Windows Update comprendra les mises à jour des indications de racine.

Il existe plusieurs mécanismes pour améliorer l'efficacité des requêtes récursives, notamment les redirecteurs conditionnels et les zones de stub. Ces options seront abordées dans la leçon 4.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Configuration des clients

Points clés Pour qu'un serveur DNS soit utile, des clients doivent être configurés pour l'interroger. Le client DNS est différent de tous les composants Active Directory du système d'exploitation Windows. Ainsi, un client ne suppose pas que son contrôleur de domaine est un serveur DNS et un client doit avoir au moins deux serveurs DNS configurés.

La configuration peut être établie dans la configuration IP du client, comme dans l'image d'écran suivante :

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


La commande netsh.exe peut également servir à configurer le premier serveur DNS et les suivants pour une connexion réseau, comme dans l'exemple ci-dessous :

netsh interface ipv4 set dns "Local Area Connection" static 10.0.0.11 primary netsh interface ipv4 add dns "Local Area Connection" 10.0.0.12

Une autre méthode consiste à transmettre les serveurs DNS aux clients par le protocole DHCP (Dynamic Host Configuration Protocol) à l'aide de l'option DHCP scope option 6: DNS server.

N'oubliez pas que les serveurs secondaires et autres serveurs DNS ne sont pas interrogés si le serveur DNS principal renvoie une réponse négative. Les autres serveurs DNS ne sont interrogés que si le serveur principal ne répond pas ou est déconnecté.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique A : Installation du service DNS

Scénario Vous êtes administrateur chez Contoso, Ltd. Vous avez récemment ajouté un second contrôleur de domaine à votre entreprise et vous souhaitez ajouter une redondance au serveur DNS qui héberge la zone du domaine. Actuellement, le seul serveur DNS de la zone contoso.com est HQDC01. Vous devez vous assurer que les clients qui interrogent le nouveau serveur DNS, HQDC02, peuvent accéder aux sites Web sur Internet. De plus, il vous a été demandé de configurer un sous-domaine pour prendre en charge la résolution des noms requise pour que l'équipe de développeurs puisse tester une application.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Ajout du rôle de serveur DNS Dans cet exercice, vous allez ajouter le rôle de serveur DNS à l'ordinateur HQDC02, examiner la zone du domaine qui est automatiquement renseignée au niveau du serveur DNS, puis configurer HQDC02 pour qu'il s'utilise lui-même comme son propre serveur DNS principal.

Les tâches principales de cet exercice sont les suivantes :

1. Préparer l'atelier pratique.

2. Ajout du rôle de serveur DNS

3. Changement de la configuration serveur DNS du client DNS

4. Examen de la zone de recherche directe du domaine

5. Configuration de redirecteurs pour la résolution des noms Internet

Tâche 1 : Préparation de l'atelier pratique 1. Démarrez 6238B-HQDC01-B.

2. Attendez la fin du démarrage.

3. Démarrez 6238B-HQDC02-B.

4. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

Tâche 2 : Ajout du rôle de serveur DNS 1. Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur,

avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Ajoutez le rôle de serveur DNS à HQDC02.

3. Fermez le Gestionnaire de serveur.

4. Redémarrez HQDC02. Ouvrez ensuite une session en tant que Pat.Coleman avec le mot de passe Pa$$w0rd.

Cette opération n'est pas nécessaire dans un environnement de production, mais cela accélère le redémarrage des services et la réplication des enregistrements DNS dans HQDC02 pour les besoins de cet exercice.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Changement de la configuration serveur DNS du client DNS 1. Exécutez une invite de commande en tant qu'administrateur, avec le nom

d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Tapez netsh interface ipv4 set dnsserver "Local Area Connection" static 10.0.0.12 primary, puis appuyez sur Entrée.

3. Tapez netsh interface ipv4 add dnsserver "Local Area Connection" 10.0.0.11, puis appuyez sur Entrée.

Tâche 4 : Examen de la zone de recherche directe du domaine 1. Exécutez le Gestionnaire DNS en tant qu'administrateur, avec le nom


2. Examinez les enregistrements SOA, NS et A dans la zone de recherche directe du domaine contoso.com.

Tâche 5 : Configuration de redirecteurs pour la résolution des noms Internet • Configurez deux redirecteurs pour HQDC02 : 192.168.200.12 et

192.168.200.13. Ces serveurs DNS n'existant pas encore, le nom de domaine complet du serveur affichera soit <Tentative de résolution...>, soit <Résolution impossible>. Dans un environnement de production, vous configureriez les redirecteurs sur les serveurs DNS en amont au niveau d'Internet, généralement ceux fournis par votre opérateur Internet (ISP).

Résultats : À la fin de cet exercice, vous aurez ajouté le rôle de serveur DNS à l'ordinateur HQDC02 et simulé la configuration de redirecteurs pour résoudre les noms DNS Internet.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Configuration de zones de recherche directe et d'enregistrements de ressource Dans cet exercice, vous allez ajouter une zone de recherche directe pour le domaine de développement de Contoso. Vous allez ensuite ajouter un hôte et un enregistrement CNAME à cette zone et vérifier le fonctionnement de la résolution des noms dans la nouvelle zone.


1. Créer une zone de recherche directe.

2. Créer l'hôte et les enregistrements CNAME.

3. Vérifier la résolution des noms.

Tâche 1 : Création d'une zone de recherche directe • Créez une nouvelle zone de recherche directe appelée

development.contoso.com. Il doit s'agir d'une zone principale, stockée dans Active Directory et répliquée dans tous les contrôleurs du domaine contoso.com. Configurez la zone de sorte qu'elle n'autorise pas les mises à jour dynamiques.

Remarque : dans un environnement de production, vous vous contenteriez de la répliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplication rapide et sûre.

Tâche 2 : Création de l'hôte et des enregistrements CNAME 1. Dans la zone development.contoso.com, créez un enregistrement hôte (A)

pour APPDEV01 avec l'adresse IP 10.0.0.24.

2. Créez un enregistrement CNAME, www.development.contoso.com, qui se résout en appdev01.development.contoso.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Test de la résolution des noms • À l'invite de commande, tapez nslookup www.development.contoso.com,

puis appuyez sur Entrée.

Examinez le résultat de la commande. Que vous indique-t-il ?

Résultats : à la fin de cet exercice, vous aurez créé une nouvelle zone de recherche directe, development.contoso.com, avec un hôte et des enregistrements CNAME, et vérifié que les noms de cette zone sont bien résolus.

Remarque : ne fermez pas les ordinateurs virtuels lorsque vous avez terminé cet atelier pratique car les paramètres configurés ici serviront dans le prochain atelier.

Questions de contrôle des acquis

Question : Si vous n'aviez pas configuré des redirecteurs dans HQDC02, quelles auraient été les conséquences pour les clients qui utilisent HQDC02 comme leur serveur DNS principal ?

Question : Les clients auraient-ils été capables de résoudre les noms du domaine development.contoso.com si vous aviez choisi une zone DNS autonome plutôt qu'une zone intégrée à Active Directory ? Pourquoi cela se produirait-il ? Que devriez-vous faire pour résoudre ce problème ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 3 AD DS, DNS et Windows

Vous avez appris à configurer DNS dans un environnement simple, à l'aide des nombreux paramètres par défaut qui prennent en charge les domaines Active Directory prêts à l'emploi. Dans cette leçon, vous allez en apprendre davantage sur les composants et les processus qui prennent en charge les Services de domaine Active Directory (AD DS) et sur les interactions entre AD DS et DNS.


• comprendre l'intégration entre AD DS et DNS ;

• choisir un domaine DNS pour un domaine Active Directory ;

• créer une délégation de zone pour un nouveau domaine Active Directory ;

• configurer la réplication pour des zones intégrées à Active Directory ;

• décrire la fonction des enregistrements SRV dans le processus d'emplacement des contrôleurs d'un domaine ;

• comprendre le fonctionnement des serveurs DNS en lecture seule.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


AD DS, DNS et Windows

Points clés Les Services de domaine Active Directory, DNS et le système d'exploitation Windows sont intégrés et interdépendants de nombreuses manières. Dans cette leçon, vous allez examiner dans le détail chacune de ces interactions.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Intégration entre AD DS et l'espace de noms DNS

Points clés Active Directory a besoin du système DNS, et tout domaine AD DS doit avoir un nom de domaine DNS. Le système DNS étant également utilisé en tant qu'espace de noms standardisé et disponible au niveau international, vous devez réfléchir soigneusement à l'emplacement dans lequel vous allez définir votre domaine AD DS au sein de l'espace de noms.

Supposons que vous êtes administrateur chez Contoso, Ltd., qui possède le nom de domaine enregistré contoso.com et un site Web à l'adresse www.contoso.com. Si vous planifiez l'espace de noms pour votre domaine AD DS, vous pouvez choisir l'un des éléments suivants :

• Le même nom de domaine que votre nom de domaine DNS externe : contoso.com. Si vous choisissez le même espace de noms, vous devez implémenter le DNS « split-brain », qui est décrit dans la prochaine section.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Un sous-domaine de votre nom de domaine externe : ad.contoso.com. Si vous utilisez un sous-domaine d'un nom de domaine enregistré, l'opération est facile car vous êtes le propriétaire de cette portion de l'espace de noms DNS. Toutefois, soyez prudent et ne vous aventurez pas trop profondément dans l'espace de noms DNS. Les utilisateurs et les administrateurs tapent des noms de domaine complets bien plus fréquemment que vous ne l'imaginez, et un suffixe de domaine trop long rend laborieuse la saisie de chaque nom de domaine complet. De plus, les URL et les UNC ont des longueurs limites à ne pas dépasser et qui sont vite atteintes avec des suffixes DNS à rallonge.

• Un nom de domaine distinct : contoso.net. Si vous utilisez un nom de domaine distinct pour votre domaine Active Directory, il est recommandé d'enregistrer le domaine de sorte qu'il ne puisse pas être usurpé par une autre entreprise. Vous devez vous assurer de conserver la propriété de cette portion de l'espace de noms DNS.

Dans notre monde moderne de plus en plus connecté, les frontières entre réseau, intranet, extranet et Internet sont brouillées, voire pratiquement invisibles. Il devient de moins en moins possible de maintenir une distinction dans l'espace de noms, et cela pose des problèmes de valorisation. C'est pourquoi de nombreuses organisations choisissent le nom de domaine le plus familier, celui le plus étroitement associé à l'organisation et le plus facile à saisir : le nom de domaine public. Comme nous venons d'en parler et comme se sera mentionné dans la prochaine rubrique, vous devez suivre des étapes pour prendre cette configuration en charge. Cependant, le coût de cette procédure est généralement bien moindre par rapport aux avantages qu'elle offre. Quel que soit votre choix, vous devez gérer la résolution des noms, la protection du périmètre et la sécurité. Vous devez donc produire un niveau d'effort administratif équivalent quel que soit votre choix d'espace de noms. Il est donc judicieux de choisir un nom DNS qui simplifie la vie des utilisateurs de votre espace de noms.

Au tout début de l'existence d'Active Directory, il était courant de suggérer ou même de conseiller l'utilisation d'un domaine de niveau supérieur personnalisé, tel que .msft ou même le TLD .local. Suite à l'évolution de notre monde en réseau, dont l'arrivée du protocole IP version 6 (IPv6) et l'hyper connectivité qui en a résulté, ces options doivent être envisagées uniquement après une étude approfondie de leur capacité à prendre en charge les besoins de votre entreprise, de leurs avantages et de leur coût en termes d'administration et d'assistance des utilisateurs.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


DNS Split-Brain

Points clés Chaque fois que vous utilisez un nom de domaine pour un domaine AD DS également utilisé pour les connexions à votre réseau depuis le monde extérieur, vous devez vous assurer qu'il existe une séparation entre les zones DNS qui fournissent différentes informations au public et aux clients internes. Il est alors question de DNS split-brain.

La zone DNS interne doit prendre fidèlement en charge le domaine AD DS, avec tous les enregistrements de ressource pour les serveurs, les clients et les services du domaine. Idéalement, elle autorisera les mises à jour dynamiques sécurisées et stockera ses données dans Active Directory lui-même.

La zone DNS accessible de l'extérieur ne doit fournir aux clients externes que les enregistrements de ressource dont ils ont besoin, par exemple www et ftp. Cette zone sera généralement beaucoup plus petite que celle qui assure la prise en charge du domaine en interne. La zone externe sera généralement mise à jour manuellement, et non dynamiquement. Le serveur DNS qui héberge la zone externe sera souvent placé derrière le pare-feu externe, avec uniquement le port 53 ouvert pour lui.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous aurez peut-être besoin d'enregistrements en double dans les deux zones. Si vos utilisateurs internes ont besoin d'accéder au site Web public, tel que www.contoso.com, cet enregistrement de ressource doit être présent dans la zone interne interrogée par les clients. N'oubliez pas que, le serveur DNS interne étant considéré comme faisant autorité pour la zone (comme le serveur externe), il renverra soit une résolution, soit une réponse négative, indiquant que l'enregistrement n'existe tout simplement pas. Il ne peut pas y avoir de seconde requête ou de requête itérative dans la zone externe. Vous devrez donc créer des enregistrements qui sont nécessaires en interne et en externe, tels que www, dans les deux zones.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Création d'une délégation pour un domaine Active Directory

Points clés Dans le Module 1, vous avez créé un nouveau domaine et une forêt Windows Server 2008 AD DS. Lorsque vous avez promu le contrôleur du domaine, vous avez reçu un message indiquant qu'il n'y avait aucune délégation pour le domaine contoso.com. Vous avez ignoré ce message et poursuivi l'établissement du domaine, avec le système DNS au niveau du contrôleur du domaine. Les clients configurés avec l'adresse IP du contrôleur de domaine (DC) pour leur serveur DNS interrogeront le DC et seront capables de résoudre les noms du domaine contoso.com. Toutefois, aucun client externe ne pourra résoudre les noms du domaine contoso.com car il n'y a pas de délégation : aucun enregistrement NS dans le domaine .com qui pointe vers votre serveur DNS faisant autorité.

Ceci ne pose pas de problème pour notre cours car votre domaine est isolé comme une île : il est séparé du reste d'Internet et vous n'avez pas besoin de délégation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Toutefois, au sein d'une forêt, il est important qu'il y ait des délégations entre un domaine parent et un domaine enfant si la zone du domaine enfant est hébergée dans des serveurs DNS distincts. Si le domaine enfant est appelé à être un sous-domaine de la zone existante, aucune délégation n'est nécessaire.

Par exemple, si vous souhaitez ajouter un domaine, europe.contoso.com, à l'arborescence des domaines, les clients de contoso.com doivent pouvoir résoudre les serveurs, les services et les autres enregistrements de europe.contoso.com afin de prendre en charge la réplication et l'authentification dans la forêt.

Avant d'ajouter un domain enfant à l'arborescence ou une nouvelle arborescence à une forêt, vous devez créer une délégation dans le domaine parent ou dans le domaine racine de la forêt.

Pour créer une délégation, cliquez du bouton droit sur la zone du domaine parent, puis choisissez Nouvelle délégation. Vous serez invité à saisir le nom des serveurs du nouveau domaine. Faites alors référence au serveur qui est ou sera le serveur DNS du domaine enfant.

Pour créer une délégation pour une nouvelle arborescence de domaines ou pour le domaine racine de la forêt, créez d'abord une nouvelle zone dans la zone DNS racine existante. Dans la nouvelle zone, ajoutez un enregistrement Adresse qui utilise le nom DNS complet du serveur DNS du nouveau domaine. Ajoutez ensuite un enregistrement NS pour le nouveau domaine qui fait référence au nom DNS complet du contrôleur du domaine.

Après avoir créé la délégation, vous êtes prêt à configurer le serveur qui sera le premier contrôleur du domaine enfant. Commencez par configurer son serveur DNS pour qu'il pointe vers le serveur DNS dans lequel vous créez la délégation.

Installez le rôle DNS à l'aide du Gestionnaire de serveur, puis créez la zone principale du domaine enfant. Vous pouvez également utiliser l'Assistant Installation des services de domaine Active Directory (dcpromo.exe), qui peut installer DNS dans le cadre de l'installation d'AD DS.

Après la création du domaine enfant, reconfigurez le serveur DNS enfant pour qu'il s'utilise lui-même en tant que serveur DNS principal. En général, vous ajouterez le serveur DNS parent en tant que redirecteur, redirecteur conditionnel ou zone de stub pour le serveur DNS enfant. D'une manière ou d'une autre, vous devez faire en sorte que les systèmes du domaine enfant puissent résoudre les noms du domaine parent. Pour finir, dans la plupart des scénarios, il est conseillé d'utiliser une zone intégrée à Active Directory et qui prenne en charge les mises à jour dynamiques sécurisées pour le domaine enfant.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Zones intégrées à Active Directory

Points clés Dans la leçon 1, vous avez appris qu'un serveur DNS Windows est capable de stocker les données des zones dans la base de données AD DS lorsque le serveur DNS est un contrôleur de domaine AD DS. Ceci crée une Zone intégrée à Active Directory. Les avantages des zones intégrées à Active Directory sont importants :

• Mises à jour multimaître : à la différence des zones principales habituelles, qui ne peuvent être modifiées que par un seul serveur principal, tout contrôleur de domaine peut écrire dans les zones intégrées à Active Directory si elles y sont répliquées. Ceci retire un point de défaillance unique de l'infrastructure DNS. Il est particulièrement important dans les environnements géographiquement distribués qui utilisent des zones à mises à jour dynamiques. En effet, cela permet aux clients d'actualiser leurs enregistrements DNS sans avoir à se connecter à un serveur principal potentiellement éloigné.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Réplication des données d'une zone DNS par réplication AD DS : dans le Module 12, vous allez étudier les mécanismes de réplication efficaces et générateurs de topologie de la réplication AD DS. L'une des caractéristiques de la réplication d'Active Directory est la réplication au niveau des attributs, dans laquelle seuls les attributs modifiés son répliqués. Une zone intégrée à Active Directory peut tirer parti de ces avantages de la réplication Active Directory, au lieu de répliquer la totalité du fichier de la zone comme dans les modèles traditionnels du transfert de zones DNS.

• Mises à jour dynamiques sécurisées : une zone intégrée à Active Directory peut imposer des mises à jour dynamiques sécurisées.

• Sécurité granulaire : comme avec d'autres objets Active Directory, une zone intégrée à Active Directory vous permet de déléguer l'administration des zones, des domaines et des enregistrements de ressource en modifiant la Liste de contrôle d'accès (ACL) de l'objet.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Partitions d'application pour les zones DNS

Points clés Toute zone intégrée à Active Directory stocke ses enregistrements dans la base de données AD DS. Ces enregistrements peuvent être stockés dans l'une des partitions suivantes :

• Partition DomainDNSZone : cette partition est répliquée dans tous les contrôleurs de domaine qui sont des serveurs DNS au sein de ce domaine.

• Partition ForestDNSZones : cette partition est répliquée dans tous les contrôleurs de domaine qui sont des serveurs DNS au sein de la forêt.

Ces partitions par défaut sont créées lors de l'installation du système DNS et configurées durant l'installation d'AD DS. Vous pouvez utiliser l'outil de gestion du système DNS ou la commande dnscmd.exe pour créer des partitions après l'installation d'AD DS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Domaine : le Domaine, qui contient également des enregistrements pour les objets, notamment les utilisateurs et les ordinateurs, est répliqué dans tous les contrôleurs de domaine, qu'ils soient ou non des serveurs DNS. Sous Windows 2000, les zones DNS étaient stockées dans le Domaine NC. Si vous avez des contrôleurs de domaine Windows 2000 qui sont également des serveurs DNS, vous devez utiliser cette option de réplication pour prendre ces systèmes en charge.

Le choix de vos partitions dépend principalement de la topologie de réplication que vous allez sélectionner pour vos zones DNS. Bien sûr, la zone doit être répliquée dans un serveur DNS pour que ce dernier fasse autorité pour cette zone. Si un serveur DNS n'a pas de réplica de cette zone, il doit avoir un redirecteur ou une zone de stub pour exécuter les requêtes récursives demandant la résolution des noms de cette zone.

• Partition d'application personnalisée : si les partitions d'application par défaut n'offrent pas le modèle de réplication dont vous avez besoin pour prendre en charge votre infrastructure DNS, vous pouvez créer une partition d'application personnalisée, pour laquelle vous désignez les serveurs qui vont la répliquer.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Partitions d'application DNS

Points clés Pour créer une partition d'application, utilisez la commande dnscmd.exe, comme dans l'exemple suivant :

dnscmd hqdc01.contoso.com /createdirectorypartition MaZone.contoso.com

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous pouvez modifier l'étendue de réplication d'une zone dans ses propriétés. Cliquez sur le bouton Changer accolé à Réplication, comme dans la figure suivante :

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Mises à jour dynamiques

Points clés Par défaut, les systèmes Windows tentent d'inscrire leurs enregistrements avec leur serveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du client ou via la Stratégie de groupe.

Le service Client DHCP est celui qui exécute l'inscription, que l'adresse IP du client soit obtenue auprès d'un serveur DHCP ou quelle soit fixe. L'inscription se produit :

• Lorsque le client démarre et que le service Client DHCP est déjà démarré

• Lorsqu'une adresse IP est configurée, ajoutée ou modifiée dans toute connexion réseau

• Lorsqu'un administrateur exécute la commande ipconfig /registerdns

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Le client tente d'identifier le serveur DNS principal pour la zone. Si la zone n'est pas intégrée à Active Directory, cette opération peut exiger plusieurs itérations dans lesquelles le client identifie un serveur de noms, envoie une mise à jour et est rejeté car ce serveur de noms n'héberge qu'une zone secondaire. Ensuite, si la zone prend en charge les mises à jour dynamiques, le client atteint un serveur DNS autorisé à écrire dans cette zone. Il s'agit du serveur principal pour une zone standard, à base de fichier, ou de tout contrôleur de domaine qui est serveur de noms pour une zone intégrée à Active Directory.

Si la zone est configurée pour les mises à jour dynamiques sécurisées, le serveur DNS refuse la modification. Dans ce cas, le client s'authentifie et renvoie la mise à jour.

Dans certaines configurations, vous préférerez probablement que les clients ne mettent pas leurs enregistrements à jour, même dans une zone à mises à jour dynamiques. Sinon, vous pouvez configurer le serveur DHCP pour qu'il inscrive les enregistrements de la part des clients. Par défaut, un client inscrit son enregistrement A (hôte/adresse), et le serveur DHCP inscrit l'enregistrement PTR (pointeur/recherche inversée). Les enregistrements PTR sont traités dans la leçon 4.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Chargement de zones en arrière-plan

Points clés Il se peut qu'une zone qui prend en charge un domaine AD DS devienne volumineuse, particulièrement si les enregistrements A des clients sont conservés dans un vaste domaine. Dans les précédentes versions de Windows, le service Serveur DNS prenait beaucoup de temps pour démarrer lorsqu'il devait charger une zone volumineuse.

Windows Server 2008 charge les zones en arrière-plan. Cela permet au serveur DNS de commencer à répondre très rapidement aux requêtes. S'il reçoit une requête pour une zone qui n'est pas encore chargée, il s'efforce de la charger rapidement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Enregistrements SRV

Points clés Les enregistrements de ressource SRV (Service Locator, ou Service Localisateur) résolvent les requêtes d'un service réseau. Cela permet aux clients de localiser un hôte qui fournit un service spécifique.

Les enregistrements SRV sont utiles dans de nombreux scénarios :

• Lorsqu'un contrôleur de domaine doit répliquer des changements en provenance de ses partenaires

• Lorsqu'un ordinateur client doit s'authentifier dans AD DS

• Lorsqu'un utilisateur change son mot de passe

• Lorsqu'un serveur Microsoft Exchange effectue une recherche dans l'annuaire

• Lorsqu'un administrateur ouvre Utilisateurs et ordinateurs Active Directory

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tout enregistrement SRV adopte la syntaxe suivante :

protocole.service.nom TTL classe type priorité poids port cible

Voici un exemple d'enregistrement SRV :

_ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Les composants de l'enregistrement sont les suivants :

• Nom de service du protocole, tel que LDAP, offert par un contrôleur de domaine

• Valeur de la durée TTL, en secondes

• Classe (tous les enregistrements d'un serveur DNS Windows seront IN ou INternet)

• Type : SRV

• Priorité et poids (aident les clients à choisir l'hôte à privilégier)

• Port sur lequel le service est offert par le serveur. Le port 389 est le port standard pour LDAP dans un contrôleur de domaine Windows.

• Cible, ou hôte du service (dans ce cas, il s'agit du contrôleur de domaine nommé hqdc01.contoso.com)

Lorsqu'un processus client recherche un contrôleur de domaine, il peut interroger le système DNS pour obtenir un service LDAP. Cette requête renvoie les deux enregistrements (SRV et A) du ou des serveurs qui fournissent le service demandé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Enregistrements de ressource SRV inscrits par des contrôleurs de domaine AD DS

Points clés Dans cette démonstration, votre instructeur va vous montrer les enregistrements SRV inscrits par un contrôleur de domaine dans la forêt contoso.com. Vous allez effectuer les tâches suivantes :

• Utiliser le Gestionnaire DNS pour afficher les enregistrements SRV inscrits

• _tcp.contoso.com, qui dresse la liste de tous les contrôleurs du domaine

• _tcp.siteName._sites.contoso.com, qui dresse la liste des contrôleurs de domaine qui couvrent un site spécifique

• _msdcs.contoso.com, qui suit la trace des contrôleurs de domaine d'une forêt et que ceux-ci utilisent pour se localiser mutuellement

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Simuler une requête de client qui demande un contrôleur de domaine

nslookup set type=srv _ldap._tcp.contoso.com

• Découvrir comment les contrôleurs de domaine inscrivent leurs enregistrements de ressource dans une zone à mises à jour dynamiques. Supprimez un enregistrement SRV, puis arrêtez et redémarrez le service NetLogon. Le service NetLogon inscrit les enregistrements DC au démarrage.

• Afficher le fichier %systemroot%\system32\config\netlogon.dns, qui contient les enregistrements qui doivent être inscrits manuellement si la zone ne prend pas en charge les mises à jour dynamiques

Étapes de la démonstration 1. Exécutez Gestion du service DNS avec des droits administratifs à l'aide du

compte Pat.Coleman_Admin et du mot de passe Pa$$w0rd. Dans l'arborescence de la console, développez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nœud _tcp. Examinez les enregistrements SRV.

2. Dans l'arborescence de la console, développez HQDC01, Zones de recherche directe, contoso.com, _sites, BRANCHA, puis cliquez sur le nœud _tcp. Examinez les enregistrements SRV.

3. Exécutez une invite de commande avec le compte administratif utilisé précédemment.

4. Tapez nslookup, puis appuyez sur Entrée.

5. Tapez set type=SRV, puis appuyez sur Entrée.

6. Tapez _ldap._tcp.contoso.com, puis appuyez sur Entrée.

7. Basculez dans le Gestionnaire DNS.

8. Développez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nœud _tcp.

9. Cliquez du bouton droit sur l'enregistrement SRV de hqdc01.contoso.com, puis cliquez sur Supprimer.

10. Revenez à l'invite de commande.

11. Tapez net stop netlogon, puis appuyez sur Entrée.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


12. Tapez net start netlogon, puis appuyez sur Entrée.


14. Dans l'arborescence de la console, cliquez du bouton droit sur le nœud _tcp, puis choisissez Actualiser. Examinez l'enregistrement SRV de hqdc01.contoso.com.

15. Ouvrez notepad.exe.

16. Cliquez sur Fichier, sur Ouvrir, tapez %systemroot%\system32\config \netlogon.dns dans la zone Nom de fichier, puis appuyez sur Entrée.

17. Examinez les enregistrements SRV par défaut.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Emplacement des contrôleurs de domaine

Points clés Lorsqu'un client s'authentifie, il tente de localiser un contrôleur de domaine dans son site. Si ce client ne s'est pas authentifié auparavant, il interroge DNS pour obtenir _ldap._tcp.NomDomaine, puis il récupère la liste de tous les contrôleurs de ce domaine. Le client tente une liaison LDAP avec chacun d'eux, et le premier contrôleur qui répond est sélectionné pour la prochaine étape. Remarquez que, à ce stade, il est possible qu'un contrôleur d'un autre site réponde en premier.

Le client tente alors de s'authentifier auprès de ce contrôleur de domaine. Le contrôleur examine l'adresse IP du client et la compare aux informations qu'il possède à propos des sites et des sous-réseaux. Si ce contrôleur ne fait pas partie du site du client, il indique au client quel site est le sien.

Le client interroge alors DNS pour obtenir _ldap._tcp.NomSite. nomDomaine, ce qui renvoie la liste des contrôleurs de domaine qui couvrent ce site. De nouveau, le client tente une liaison LDAP avec chacun de ces contrôleurs, et le premier qui répond est sélectionné. Le client s'authentifie alors auprès de ce contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Le client stocke son appartenance à son site dans le Registre, et une affinité s'établit avec le contrôleur de domaine auprès duquel il s'est authentifié. La prochaine fois que ce client doit contacter un contrôleur, il commence par celui avec lequel une affinité s'est créée. Si ce contrôleur nst pas disponible, le client récupère les informations sur son site dans le Registre et interroge DNS pour obtenir _ldap._tcp.nomSite.nomDomaine.

Ce processus est résumé dans la diapositive suivante :

L'emplacement des contrôleurs de domaine sera abordé de nouveau dans le Module 12, où vous étudierez comment les enregistrements SRV et le processus de localisation des contrôleurs sert à vérifier l'authentification à un contrôleur efficace.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Zones DNS en lecture seule

Points clés Tout serveur DNS placé dans un Contrôleur de domaine en lecture seule (Read-Only Domain Controller, ou RODC) peut faire autorité pour des zones qui sont répliquées dans le RODC, et il peut résoudre les requêtes des clients qui utilisent ce RODC en tant que serveur DNS.

Bien sûr, la caractéristique principale d'un RODC est qu'il ne peut effectuer aucune modification dans Active Directory. Ainsi, les enregistrements de ressource ne peuvent pas être ajoutés manuellement à la zone d'un RODC et les mises à jour dynamiques proposées par les clients ne sont pas acceptées.

Les mises à jour dynamiques sont gérées en orientant les clients vers un DC inscriptible lorsqu'ils tentent d'envoyer une mise à jour à un RODC. Pour le RODC, il est utile d'inclure dès que possible dans la zone l'enregistrement de ressource mis à jour par le client. Ainsi, le RODC conserve la trace du client qui a tenté une mise à jour et la trace du DC inscriptible auquel ce client s'est référé. Après une courte attente, le RODC effectue une opération RSO (Réplication d'un objet unique), dans laquelle il récupère l'enregistrement DNS mis à jour pour le client auprès du DC inscriptible, en contournant les mécanismes de réplication habituels.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 4 Configuration et administration avancées du système DNS

Vous avez appris à configurer une implémentation DNS simple et vous avez découvert comment DNS prend en charge AD DS. Dans ce module, vous allez explorer certaines rubriques avancées de configuration et d'administration du système DNS.


• comprendre et configurer la résolution des noms en une partie ;

• configurer les paramètres avancés du serveur DNS ;

• auditer, gérer et dépanner le rôle de serveur DNS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Résolution des noms en une partie

Points clés En temps normal, tout utilisateur ou toute application peut souhaiter ou avoir besoin de faire référence à un hôte par un nom en une seule partie. Par exemple, un utilisateur peut ouvrir Internet Explorer et accéder à l'adresse http://legalapp.

Il est important que vous compreniez comment le service Client DNS fonctionne pour résoudre un nom en une partie.

Tout d'abord, le client tente de résoudre le nom en une partie comme un nom complet en lui ajoutant le suffixe d'un domaine DNS. Le suffixe ajouté est choisi à l'aide de l'une des options suivantes : le premier qui est configuré dans les Paramètres TCP/IP avancés d'une connexion, et le second à l'aide de la Stratégie de groupe.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Suffixe DNS de la connexion réseau du client : le client ajoute le suffixe de sa connexion DNS, tel que ad.contoso.com. En utilisant le suffixe basé sur la connexion, vous pouvez éventuellement configurer un client pour qu'il utilise la dévolution des noms de domaine, qui signifie que, si le suffixe de connexion échoue, le client recommence avec le nom du domaine parent, qui serait contoso.com dans cet exemple. La dévolution s'interrompt à ce stade ; elle n'interroge pas DNS avec un nom de domaine du niveau supérieur (TLD).

• Ordre de recherche des suffixes DNS : vous pouvez spécifier les suffixes DNS qu'un client doit tenter. Il s'agit là de la méthode la plus simple avec la Stratégie de groupe. Si l'ordre de recherche des suffixes DNS est utilisé, il n'y a pas de dévolution. Vous devez désigner précisément les noms de domaine que le client doit tenter.

Si le suffixe DNS n'offre pas de résolution, le client DNS abandonne et interroge DNS avec un nom en une partie. Si cela ne fonctionne pas, le système tente une résolution de nom NetBIOS, qui commence par envoyer une requête à un serveur Windows Internet Name Service (WINS). Si celle-ci échoue également, il a recours à une diffusion NetBIOS dans le segment local.

Le client DNS n'a pas beaucoup de temps pour résoudre un nom. En réalité, après 12 secondes, la résolution échoue. À ce stade, il revient à l'application cliente de décider de la conduite à tenir. Cela signifie qu'il est possible que le client arrive à expiration avant que toutes les combinaisons de noms aient été tentées.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Le serveur DNS Windows Server 2008 fournit une nouvelle option pour prendre en charge la résolution des noms en une partie : la zone GlobalNames. Il s'agit d'une zone spécialisée que vous créez dans vos serveurs DNS. En général, vous souhaiterez la répliquer dans la partition ForestDNSZones afin que tous les serveurs DNS de la forêt puissent y accéder. Cette zone contient des enregistrements CNAME avec des noms en une partie et leur résolution en noms complets.

Lorsqu'un client envoie une requête en une partie, le serveur DNS peut la résoudre en récupérant l'enregistrement CNAME dans la zone GlobalNames, puis en recherchant l'enregistrement A approprié du nom complet.

Pour utiliser GlobalNames, vous devez créer la zone GlobalNames, puis activer son usage dans les résolutions à l'aide de la commande dnscmd.exe. Pour plus d'informations, consultez l'article mentionné dans la section Lectures complémentaires.

Lectures complémentaires • Résolution des noms DNS en une partie

http://go.microsoft.com/fwlink/?LinkId=168531

• Déploiement de la zone GlobalNames http://go.microsoft.com/fwlink/?LinkId=168532

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Résolution des noms extérieurs à votre domaine

Points clés Il existe plusieurs moyens pour fournir la résolution des enregistrements DNS extérieurs à votre domaine, ceux pour lesquels vos serveurs DNS ne font pas autorité.

• Zone secondaire : la première option consiste à faire en sorte que les serveurs fassent autorité en hébergeant une zone secondaire du domaine externe. Ceci exige l'autorisation d'effectuer un transfert de zone depuis un serveur de noms vers la zone. Donc, cette option ne convient généralement pas pour les domaines externes de votre entreprise.

• Redirecteurs : les redirecteurs, traités à la leçon 2, sont des pointeurs vers des serveurs DNS en amont, des serveurs DNS fournis par votre opérateur ISP ou des serveurs DNS Internet. Votre serveur DNS peut envoyer des requêtes aux serveurs redirecteurs.

Si vous choisissez de pointer vers un serveur DNS autre que celui qui est géré par vous ou votre opérateur ISP, il convient d'en demander l'autorisation avant d'envoyer des requêtes récursives à un serveur DNS tiers.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Indications de racine : les indications de racine pointent vers des serveurs de noms de la racine de l'espace de noms DNS (« . »). Tout serveur DNS possède la liste des serveurs racine. Cette liste est mise à jour par Windows Update, mais elle ne change pas souvent.

• Redirecteurs conditionnels : les redirecteurs conditionnels pointent vers les serveurs de noms qui doivent recevoir les requêtes de noms de domaine spécifiques. Tout redirecteur conditionnel crée un « raccourci direct » vers un serveur pour demander un domaine, et il n'a pas besoin d'envoyer des requêtes récursives à un redirecteur (non conditionnel), ni d'aller jusqu'à la racine de l'espace de noms DNS avec une indication de racine.

• Zone de stub : vous avez étudié les domaines de stub précédemment dans ce module, car ils peuvent être utilisés sous forme de délégation pour un domaine enfant. Les domaines de stub peuvent s'avérer très utiles pour résoudre les noms extérieurs à votre entreprise. N'oubliez pas que le principal avantage d'un domaine de stub est que le serveur DNS gère dynamiquement la liste des serveurs de noms de ce domaine. Vous pouvez considérer les zones de stub comme des redirecteurs conditionnels dynamiques. Le prix à payer est que le port TCP 53 doit rester ouvert pour tous les serveurs de noms du domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Zone de recherche inversée

Points clés Alors qu'une requête DNS typique demande l'adresse IP d'un nom d'hôte, une recherche inversée demande le nom d'hôte d'une adresse IP donnée.

Tout nom complet est traité de droite à gauche, de la partie la plus générique (telle que .com) à la plus spécifique (telle que technet). Cependant, une adresse IP est plus générique à gauche : le premier octet est le plus générique et le dernier est le plus spécifique. Ainsi, pour envoyer une requête DNS avec une adresse IP, le client inverse l'ordre des octets et ajoute un nom de domaine réservé, in-addr.arpa.

Donc, si un client veut connaître le nom d'hôte de l'ordinateur dont l'adresse IP est 10.0.1.34, il demande 34.1.0.10.in-addr.arpa.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Si vous vous rappelez de la hiérarchie du système de noms de domaine, vous savez que la racine est indiquée par un point (« . »), et en dessous se trouvent les domaines les plus génériques (domaines de niveau supérieur ou TLD). Au fur et à mesure que vous descendez dans la hiérarchie, les noms deviennent plus spécifiques. Le domaine in-addr.arpa est le TLD réservé aux recherches inversées. En dessous, se trouvent les domaines pour chaque octet des adresses IP. Ceci suggère que DNS ne prend en charge que les masques de sous-réseau standard, où le masque de sous-réseau d'un octet est soit 0, soit 255. Bien que cela soit vrai dans la totalité du réseau Internet, le serveur DNS Windows Server 2008 vous permet de créer des zones de recherche inversée en sous-réseau si vous en avez besoin.

Comme les zones de recherche directe, les zones de recherche inversée ont des enregistrements de ressource (RR). L'enregistrement le plus générique dans une zone de recherche inversée est le Pointeur (PTR), dont le nom est défini sur la valeur du dernier octet de l'adresse IP d'un hôte et les données de l'enregistrement définies sur le nom complet de cet hôte.

Comme les zones de recherche directe, les zones de recherche inversée prennent en charge les mises à jour dynamiques. Par défaut, lorsque le serveur DHCP Windows affecte une adresse IP à un client, il inscrit également l'enregistrement PTR de ce client.

Les zones de recherche inversée ne sont pas obligatoires, mais sont recommandées. Certaines applications et certains services utilisent les recherches inversées en tant que vérification de sécurité, pour valider l'identité d'un requête provenant d'un client. L'application peut utiliser l'adresse IP du client pour rechercher son enregistrement PTR. Ensuite, elle peut valider la correspondance entre l'enregistrement A et l'hôte. En supposant que les mises à jour sécurisées sont en place, cela garantit que la requête provient bien d'un client autorisé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Maintenance des zones et des serveurs DNS

Points clés La gestion du rôle de serveur DNS est pratiquement automatique. Cependant, une fonctionnalité est importante pour le configurer dans une zone qui prenne en charge les mises à jour dynamiques : le nettoyage. Le nettoyage est le processus qui consiste à supprimer les enregistrements périmés. Il est important non seulement pour les enregistrements A des clients et des serveurs, mais également, et encore plus, pour les enregistrements SRV inscrits par des contrôleurs de domaine. Dans certains scénarios, il est possible d'avoir des enregistrements SRV qui font référence à des contrôleurs de domaine incorrects, déplacés ou supprimés. Le nettoyage assure leur suppression définitive.

Pour les zones intégrées à Active Directory, vous pouvez implémenter le nettoyage au niveau des zones ou des serveurs. La boîte de dialogue des propriétés du serveur vous permet de définir ses paramètres de nettoyage et de péremption, qui sont des paramètres par défaut pour les zones intégrées à Active Directory héritant des propriétés du serveur. Vous pouvez remplacer les paramètres par défaut du serveur zone par zone à l'aide de la boîte de dialogue des propriétés d'une zone.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour les zones principales standard, vous devez définir le nettoyage au niveau des zones.

Après avoir défini les limites temporelles après lesquelles le nettoyage des enregistrements est autorisé, vous devez effectuer le nettoyage réel. Pour faciliter cette opération de gestion, configurez le serveur pour un nettoyage automatique dans l'onglet Avancé de la boîte de dialogue Propriétés du serveur. Vous pouvez également déclencher le nettoyage manuellement en cliquant du bouton droit sur le serveur dans le composant logiciel enfichable Gestionnaire DNS.

Parmi les autres tâches de maintenance parfois nécessaires pour le serveur se trouvent l'affichage et la purge du cache. Cela devient utile lorsque vous découvrez que les clients obtiennent des résolutions incorrectes d'un serveur pour des zones pour lesquelles il ne fait pas autorité. Vous pouvez afficher les Recherches mises en cache d'un serveur en cliquant sur le menu Affichage du composant logiciel enfichable Gestionnaire DNS et en sélectionnant Fonctionnalités avancées. Vous pouvez alors vider le cache du serveur, si nécessaire, en cliquant du bouton droit sur le nœud de ce serveur ou sur le nœud Recherches mises en cache dans l'arborescence de la console.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Test et dépannage des serveurs DNS

Points clés Les événements DNS sont consignés dans le journal DNS, qui s'affiche dans le Gestionnaire DNS, le Gestionnaire de serveur et le Gestionnaire des événements. Comme pour les autres journaux d'événements de Windows Server 2008, vous pouvez centraliser la collecte des événements à l'aide d'abonnements, traités dans le Module 13. Il s'agit d'une pratique recommandée, car elle vous permet de surveiller depuis un emplacement central tout signe de dysfonctionnement dans votre infrastructure DNS.

Parfois, il peut être utile d'effectuer la journalisation du débogage, qui consigne les détails des transactions DNS. Vous pouvez activer la journalisation du débogage dans la boîte de dialogue Propriétés du serveur.

Dans cette même boîte de dialogue Propriétés du serveur, vous pouvez également exécuter des requêtes récursives et itératives à des fins de test. Ainsi, vous pouvez vérifier que les zones de stub, les redirecteurs conditionnels, les redirecteurs et les indications de racine fonctionnent comme prévu.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


L'intégration entre DNS et AD DS a été détaillée dans la leçon 3. La commande dcdiag.exe /test:DNS exécute une série de tests exhaustifs pour s'assurer que cette intégration est opérationnelle. Si vous suspectez un problème spécifique, vous pouvez effectuer des tests plus granulaires. Pour plus de détails, tapez dcdiag.exe /?.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Test et dépannage des clients DNS

Points clés En fin de compte, DNS et le rôle de serveur DNS concernent la résolution des requêtes des clients. Parfois, vous devez résoudre les problèmes de satisfaction des clients et des composants de DNS.

Pour dépanner le côté client du système DNS, vous pouvez utiliser les commandes suivantes.

• ipconfig /all : cette commande affiche la configuration IP du client, y compris ses serveurs DNS. Vérifiez que le client utilise les serveurs corrects, et que ces derniers sont accessibles.

• NSLookup : cette commande exécute directement des requêtes DNS. En général, un test avec NSLookup comprend les éléments suivants :

set server=adresse IP

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Cette commande désigne le serveur DNS à interroger. Par défaut, il s'agit du serveur DNS principal du client. À la réception d'une réponse, NSLookup identifie le serveur qui a répondu. Si aucune zone de recherche inversée n'est disponible avec un enregistrement PTR contenant l'adresse IP du serveur DNS, le nom du serveur DNS apparaît comme Inconnu, mais son adresse IP est identifiée. La prochaine ligne est la suivante :

set type=type d'enregistrement

Cette ligne définit le type d'enregistrements à interroger, par exemple SRV. Le paramètre par défaut est A (adresse/hôte). La dernière ligne est la suivante :

enregistrement

Cela désigne l'enregistrement à interroger, généralement un nom de domaine complet lorsque la résolution d'un enregistrement A est testée.

• Ipconfig/displaydns : cette commande affiche le contenu du cache de résolution DNS dans le client.

• ipconfig /flushdns : cette commande purge le cache de résolution DNS du client.

• ipconfig /registerdns : cette command déclenche une mise à jour dynamique dans laquelle le client inscrit ses enregistrements A.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique B : Configuration avancée du système DNS

Scénario Vous êtes l'administrateur de DNS chez Contoso, Ltd. Vous souhaitez améliorer le fonctionnement et l'efficacité de votre infrastructure DNS en activant le nettoyage et en créant une zone de recherche inversée pour le domaine. Vous souhaitez également examiner les enregistrements qui permettent aux clients de localiser les contrôleurs de domaine. Pour finir, vous êtes chargé de configurer la résolution des noms entre contoso.com et le domaine d'une société partenaire, tailspintoys.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Activation du nettoyage des zones DNS Dans cet exercice, vous allez activer le nettoyage des zones DNS afin de supprimer les enregistrements de ressource périmés.



2. Activer le nettoyage d'une zone DNS.

3. Configurer les paramètres par défaut du nettoyage.

Tâche 1 : Préparation de l'atelier pratique Certains des ordinateurs virtuels ont déjà dû être démarrés lors de l'Atelier pratique A. Toutefois, s'ils ont été arrêtés, terminez les Exercices 1 et 2 de l'Atelier pratique A avant de continuer car il existe des dépendances entre les Ateliers pratiques A et B.


2. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.

3. Ouvrez D:\Labfiles\Lab10b.

4. Exécutez Lab10b_Setup.bat avec des droits administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd.

5. Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.

6. Fermez la fenêtre de l'Explorateur Windows, Lab10b.


8. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

9. Démarrez 6238B-TSTDC01-A.

10. Ouvrez une session sur TSTDC01 en tant que Sara.Davis avec le mot de passe Pa$$w0rd.

11. Démarrez 6238B-BRANCHDC01-B.

12. Patientez jusqu'à la fin du démarrage de BRANCHDC01 avant de poursuivre.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 2 : Activation du nettoyage d'une zone DNS 1. Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur,


2. Activez le nettoyage pour la zone contoso.com. Acceptez les paramètres par défaut pour les intervalles de nettoyage.

Tâche 3 : Configuration des paramètres par défaut du nettoyage • Configurez HQDC02 de sorte que, par défaut, le nettoyage soit activé pour

toutes les zones. Acceptez les paramètres par défaut pour les intervalles de nettoyage.

Résultats : à la fin de cet exercice, vous aurez configuré le nettoyage du domaine contoso.com et activé le nettoyage par défaut de toutes les zones.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Création de zones de recherche inversée Dans cet exercice, vous allez créé une zone de recherche inversée pour le domaine contoso.com.


1. Créer une zone de recherche inversée.

2. Vérifier le fonctionnement d'une zone de recherche inversée.

Tâche 1 : Création d'une zone de recherche inversée • Créez une zone de recherche inversée pour le réseau IPv4 10. Autorisez

uniquement les mises à jour dynamiques sécurisées, et répliquez la zone dans tous les contrôleurs du domaine contoso.com.

Remarque : dans un environnement de production, vous vous contenteriez de la répliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplication rapide et sûre.

Tâche 2 : Vérification du fonctionnement d'une zone de recherche inversée 1. Exécutez une invite de commande en tant qu'administrateur, avec le nom


2. Tapez nslookup www.development.contoso.com, puis appuyez sur Entrée.

Notez que la première section du résultat de la commande, qui désigne le serveur DNS interrogé, indique l'adresse IP du serveur mais, à côté de Serveur, elle signale que ce serveur est Inconnu. En effet, la commande nslookup.exe ne peut pas résoudre l'adresse IP en nom.


4. Dans l'arborescence de la console, cliquez sur la zone 10.in-addr.arpa sous Zones de recherche inversée.

5. Examinez les enregistrements de cette zone.

6. Revenez à l'invite de commandes.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


7. Tapez ipconfig /egisterdns, puis appuyez sur Entrée.


9. Cliquez du bouton droit sur la zone 10.in-addr.arpa et choisissez Actualiser.

10. Examinez les enregistrements de ressource qui sont apparus.


12. Tapez nslookup www.development.contoso.com, puis appuyez sur Entrée.

Notez que le serveur DNS interrogé à l'adresse 10.0.0.12 est désormais résolu par son nom.

Résultats : à la fin de cet exercice, vous aurez créé une zone de recherche inversée et testé son fonctionnement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Exploration de l'emplacement des contrôleurs de domaine Dans cet exercice, vous allez examiner les enregistrements de ressource qui permettent aux clients de localiser des contrôleurs de domaine.


1. Explorer le domaine _tcp.

2. Explorer le domaine _tcp.brancha._sites.contoso.com.

Tâche 1 : Exploration du domaine _tcp • Examinez les enregistrements du domaine _tcp.contoso.com. Que

représentent-ils ?

Tâche 2 : Exploration du domaine _tcp.brancha._sites.contoso.com • Examinez les enregistrements du domaine _tcp.brancha._sites.contoso.com.

Que représentent-ils ?

Résultats : à la fin de cet exercice, vous aurez examiné les enregistrements SRV du domaine contoso.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 4 : Configuration de la résolution des noms pour des domaines externes Dans cet exercice, vous allez configurer la résolution des noms entre deux domaines entièrement distincts.


1. Configurer une zone de stub.

2. Configurer un redirecteur conditionnel.

3. Valider la résolution des noms pour des domaines externes.

Tâche 1 : Configuration d'une zone de stub • Dans HQDC02, créez une zone de stub pour tailspintoys.com qui renvoie à

l'adresse IPv4 10.0.0.31 pour le serveur maître.

Tâche 2 : Configuration d'un redirecteur conditionnel 1. Dans TSTDC01, exécutez le Gestionnaire DNS en tant qu'administrateur, avec

le compte Sara.Davis_Admin et le mot de passe Pa$$w0rd.

2. Pour le domaine contoso.com, créez un redirecteur conditionnel qui renvoie à l'adresse IPv4 10.0.0.11.

Tâche 3 : Validation de la résolution des noms pour des domaines externes 1. Dans TSTDC01, ouvrez une invite de commande et tapez nslookup

www.development.contoso.com, puis appuyez sur Entrée. Cette commande doit renvoyer l'adresse 10.0.0.24.

2. Basculez dans le Gestionnaire DNS et créez un enregistrement d'hôte (A) pour www.tailspintoys.com qui renvoie 10.0.0.143.

3. Dans HQDC02, ouvrez une invite de commande et tapez nslookup www.tailspintoys.com, puis appuyez sur Entrée. Cette commande doit renvoyer l'adresse 10.0.0.143.

Résultats : à la fin de cet exercice, vous aurez configuré la résolution des noms DNS entre les domaines contoso.com et tailspintoys.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.


Question : Dans cet atelier, vous avez utilisé une zone de stub et un redirecteur conditionnel pour fournir la résolution des noms entre deux domaines distincts. Quelles autres options auriez-vous pu choisir ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT

Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS) 11-1

Module 11 Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)

Table des matières : Leçon 1 : Options d'installation des contrôleurs de domaine 11-4

Atelier pratique A : Installation des contrôleurs de domaine 11-33

Leçon 2 : Installation d'un contrôleur de domaine Server Core 11-41

Atelier pratique B : Installation d'un contrôleur de domaine Server Core 11-50

Leçon 3 : Gestion des maîtres d'opérations 11-55

Atelier pratique C : Transfert des rôles de maître d'opérations 11-74

Leçon 4 : Configuration de la réplication DFSR du dossier SYSVOL 11-79

Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL 11-87

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



Les contrôleurs de domaine hébergent le service d'annuaire et exécutent les services qui assurent la gestion des identités et des accès dans une entreprise Windows®. À ce stade du cours, vous avez appris à prendre en charge les composants logiques et de gestion d'une infrastructure de service d'annuaire Active Directory® : utilisateurs, groupes, ordinateurs et Stratégie de groupe. Chacun de ces composants est stocké dans la base de données de l'annuaire et dans le volume SYSVOL des contrôleurs de domaine. Dans ce module, vous allez commencer à étudier les composants de niveau de service d'Active Directory, en commençant par les contrôleurs de domaine eux-mêmes. Vous apprendrez à ajouter des contrôleurs de domaine Windows Server® 2008 à une forêt ou un domaine, à préparer une forêt ou un domaine Windows Server 2003 pour son premier contrôleur de domaine Windows Server 2008, à gérer les rôles exécutés par les contrôleurs de domaine et à migrer la réplication du volume SYSVOL du Service de réplication de fichiers (FRS) utilisé dans les versions précédentes de Windows vers le mécanisme de Réplication du système de fichiers distribués (DFS) assurant une réplication plus robuste et plus facile à gérer.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• installer un contrôleur de domaine standard ou en lecture seule dans des arborescences ou des domaines, nouveaux ou existants ;

• ajouter et supprimer des contrôleurs de domaine à l'aide de diverses méthodes d'interface graphique utilisateur ou de ligne de commande ;

• configurer un contrôleur de domaine sur Server Core ;

• comprendre et identifier les rôles de maître d'opérations ;

• gérer l'emplacement, le transfert et la cessation des rôles de maître d'opérations ;

• migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR).

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 1 Options d'installation des contrôleurs de domaine

Au Module 1, « Présentation des Services de domaine Active Directory », vous avez utilisé l'Assistant Ajout de rôles du Gestionnaire de serveur pour installer les Services de domaine Active Directory (AD DS). Vous avez ensuite utilisé l'Assistant Installation des services de domaine Active Directory pour créer le premier contrôleur de domaine de la forêt contoso.com. Les contrôleurs de domaine étant essentiels pour l'authentification, il est fortement recommandé d'en utiliser au moins deux dans chaque domaine de votre forêt afin d'assurer un niveau suffisant de tolérance de panne en cas de défaillance de l'un d'entre eux. Vous serez peut-être également amené à ajouter des contrôleurs de domaine à des sites distants ou à créer de nouveaux domaines ou de nouvelles arborescences dans votre forêt Active Directory. Dans cette leçon, vous allez apprendre à utiliser trois méthodes (interface utilisateur, ligne de commande et sans assistance) pour installer des contrôleurs de domaine dans divers scénarios.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• installer un contrôleur de domaine à l'aide de l'interface Windows, des paramètres de ligne de commande de la commande dcpromo.exe ou d'un fichier de réponses pour une installation sans assistance ;

• ajouter des contrôleurs de domaine Windows Server 2008 dans un domaine ou une forêt doté(e) de contrôleurs de domaine Windows Server 2003 et Windows 2000 Server ;

• créer de nouveaux domaines et de nouvelles arborescences ;

• exécuter l'installation intermédiaire d'un contrôleur de domaine en lecture seule ;

• installer un contrôleur de domaine à partir d'un support d'installation afin de réduire la réplication réseau ;

• supprimer un contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation d'un contrôleur de domaine avec l'interface Windows

Points clés L'installation d'un contrôle de domaine avec l'interface Windows comprend deux étapes majeures. D'abord, vous devez installer le rôle AD DS qui, comme vous l'avez étudié au Module 1 « Présentation des Services de domaine Active Directory », peut être effectué via l'Assistant Ajout de rôles du Gestionnaire de serveur. Lorsque l'installation du rôle AD DS a copié les fichiers binaires nécessaires au rôle sur le serveur, vous devez installer et configurer AD DS en lançant l'Assistant Installation des services de domaine Active Directory, à l'aide de l'une des méthodes suivantes :

• Cliquez sur Démarrer et tapez dcpromo dans le champ Rechercher. Cliquez ensuite sur OK. Une fois l'Assistant Ajout de rôles terminé, cliquez sur le lien Assistant Installation des services de domaine Active Directory.

• Lorsque le rôle AD DS a été ajouté, des liens s'affichent dans le Gestionnaire de serveur pour vous rappeler d'exécuter l'Assistant Installation des services de domaine Active Directory. Cliquez sur l'un de ces liens.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Remarque : Assistant tout-en-un. La documentation Microsoft sur Windows Server 2008 met en évidence le modèle à base de rôles et vous recommande d'ajouter le rôle AD DS, puis d'exécuter la commande Dcpromo.exe (l'Assistant Installation des services de domaine Active Directory). Vous pouvez cependant vous contenter d'exécuter Dcpromo.exe et, au cours de la première étape, l'Assistant s'apercevra que les fichiers binaires AD DS ne sont pas installés et ajoutera automatiquement le rôle AD DS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fichier de réponses et options d'installation sans assistance

Points clés Vous pouvez également ajouter ou supprimer un contrôleur de domaine au niveau de la ligne de commande, via l'installation sans assistance prise en charge par la version Windows Server 2008 de la commande dcpromo.exe. Les options de l'installation sans assistance fournissent les valeurs nécessaires à l'Assistant Installation des services de domaine Active Directory. Par exemple, l'option NewDomainDNSName spécifie le nom de domaine complet (FQFN) d'un nouveau domaine.

Ces options peuvent être fournies à la ligne de commande en tapant dcpromo /OptionSansAssistance:valeur, par exemple, dcpromo /newdomaindnsname:contoso.com. Vous pouvez également fournir ces options dans un fichier de réponses d'installation sans assistance. Le fichier de réponses est un fichier texte qui contient un titre de section, [DCINSTALL], suivi des options et de leurs valeurs au format option=valeur. Le fichier suivant, par exemple, fournit l'option NewDomainDNSName :

[DCINSTALL] NewDomainDNSName=contoso.com

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Le fichier de réponses est appelé en ajoutant son chemin d'accès dans le paramètre unattend, par exemple :

dcpromo /unattend:"chemin d'accès du fichier de réponses"

Les options du fichier de réponses peuvent être remplacées par des paramètres sur la ligne de commande. Par exemple, si l'option NewDomainDNSName est spécifiée dans le fichier de réponses et que le paramètre /NewDomainDNSName est utilisé sur la ligne de commande, la valeur de ce paramètre est prioritaire. Lorsque l'une des valeurs requises n'est définie ni dans le fichier de réponses, ni sur la ligne de commande, l'Assistant Installation des services de domaine Active Directory vous invite à définir les réponses. Vous pouvez donc utiliser le fichier de réponses pour automatiser partiellement l'installation, en fournissant un sous-ensemble de valeurs de configuration à utiliser pendant l'installation interactive.

L'Assistant n'est pas disponible lorsque la commande dcpromo.exe est exécutée depuis la ligne de commande de Server Core. Dans ce cas, la commande dcpromo.exe renvoie un code d'erreur.

Pour obtenir la liste complète des paramètres que vous pouvez spécifier dans le cadre d'une installation sans assistance de AD DS, ouvrez une invite de commande élevée et tapez la commande suivante :

dcpromo /?[:opération]

où opération correspond à l'un des éléments suivants :

• Promotion renvoie tous les paramètres utilisables lors de la création d'un contrôleur de domaine.

• CreateDCAccount renvoie tous les paramètres utilisables lors de la création d'un compte prédéfini pour un Contrôleur de domaine en lecture seule (RODC, Read-Only Domain Controller).

• UseExistingAccount renvoie tous les paramètres utilisables pour relier un nouveau contrôleur de domaine à un compte RODC prédéfini.

• Demotion renvoie tous les paramètres utilisables pour supprimer un contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Remarque : générez un fichier de réponses. Lorsque vous utilisez l'interface Windows pour créer un contrôleur de domaine, la page Résumé de l'Assistant Installation des services de domaine Active Directory vous permet d'exporter vos paramètres dans un fichier de réponses. Si vous devez créer un fichier de réponses à utiliser depuis la ligne de commande (par exemple, sur une installation Server Core), ce raccourci vous permet de créer un fichier de réponses contenant les options et les valeurs appropriées.

Lectures complémentaires

• Les références complètes des paramètres de la commande dcpromo et des options d'installation sans assistance sont disponibles à l'adresse : http://go.microsoft.com/fwlink/?LinkId=168475

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation d'une nouvelle forêt Windows Server 2008

Points clés Le Module 1, « Présentation des Services de domaine Active Directory » présentait l'installation du premier contrôleur de domaine Windows Server 2008 dans une nouvelle forêt, via l'interface Windows. Dans ce module, vous avez étudié la procédure détaillée permettant d'ajouter le rôle AD DS à un serveur à l'aide du Gestionnaire de serveur, puis d'exécuter la commande Dcpromo.exe pour promouvoir le serveur en contrôleur de domaine. Lorsque vous créez un nouveau domaine racine dans une forêt, vous devez spécifier le nom DNS de ce domaine, son nom NetBIOS et les niveaux fonctionnels du domaine et de la forêt. Le premier contrôleur de domaine ne peut pas être en lecture seule et doit être un serveur de Catalogue global (GC). Si l'Assistant Installation des services de domaine Active Directory s'aperçoit qu'il est nécessaire d'installer et de configurer le système DNS, il le fait automatiquement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous pouvez également utiliser un fichier de réponses en tapant dcpromo /unattend:"chemin d'accès du fichier de réponses" (celui contenant les options et les valeurs de l'installation sans assistance). L'exemple suivant contient les paramètres minimaux pour l'installation sans assistance d'un nouveau contrôleur de domaine Windows Server 2008 dans une nouvelle forêt :

[DCINSTALL] ReplicaOrNewDomain=domain NewDomain=forest NewDomainDNSName=nom DNS complet DomainNetBiosName=nom NetBIOS du domaine ForestLevel={0=Windows 2000 Server Native; 2=Windows Server 2003 Native; 3=Windows Server 2008} DomainLevel={0=Windows Server 2000 Native; 2=Windows Server 2003 Native; 3=Windows Server 2008} InstallDNS=yes DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

Vous pouvez également spécifier un ou plusieurs paramètres et valeurs d'installation sans assistance sur la ligne de commande. Par exemple, si vous ne voulez pas du mot de passe du Mode de restauration des services d'annuaire dans le fichier de réponses, ne renseignez pas l'entrée et spécifiez le paramètre /SafeModeAdminPassword:mot de passe lorsque vous exécutez la commande dcpromo.exe.

Vous pouvez également inclure toutes les options sur la ligne de commande elle-même. L'exemple suivant crée le premier contrôleur de domaine d'une nouvelle forêt dans laquelle vous n'envisagez pas d'installer de contrôleurs de domaine Windows Server 2003 :

dcpromo /unattend /installDNS:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:contoso.com /DomainNetbiosName:contoso /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Préparation d'un domaine existant aux contrôleurs de domaine Windows Server 2008

Points clés Si vous avez une forêt existante dotée de contrôleurs de domaine exécutant Windows Server 2003 ou Windows 2000 Server, vous devez les préparer avant de créer votre premier contrôleur de domaine Windows Server 2008.

La commande ADPrep permet de préparer Active Directory à un contrôleur de domaine exécutant une version de Windows Server plus récente que celle exécutée par les contrôleurs de domaine existants dans la forêt ou le domaine. Adprep.exe est un outil de ligne de commande inclus dans le disque d'installation de chaque version de Windows Server. Adprep.exe exécute les opérations à effectuer dans un environnement Active Directory existant avant de pouvoir ajouter un contrôleur de domaine fonctionnant sous cette version de Windows Server.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Les paramètres de la commande Adprep.exe exécutent diverses opérations qui préparent l'environnement Active Directory existant à un contrôleur de domaine exécutant une version plus récente de Windows Server. Toutes les versions de la commande Adprep.exe n'exécutent pas les mêmes opérations, mais les différents types d'opérations incluent généralement les suivants :

• mise à jour du schéma Active Directory ;

• mise à jour des descripteurs de sécurité ;

• modification des listes de contrôle d'accès (ACL) des objets Active Directory et des fichiers du dossier partagé SYSVOL ;

• création de nouveaux objets, selon les besoins ;

• création de nouveaux conteneurs, selon les besoins.

Pour préparer la forêt au premier contrôleur de domaine exécutant Windows Server 2008, procédez comme suit :

1. Ouvrez une session sur le contrôleur de schéma en tant que membre des groupes Administrateurs de l'entreprise, Administrateurs du schéma et Administrateurs du domaine.

La leçon 3 présente les maîtres d'opérations et la procédure qui permet d'identifier le contrôleur de domaine correspondant au contrôleur de schéma.

2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du contrôleur de schéma.

3. Ouvrez une invite de commande élevée et placez-vous dans le dossier adprep.

4. Tapez adprep /forestprep et appuyez sur ENTRÉE.

Patientez jusqu'à la fin de l'opération. Dès que les modifications sont répliquées dans toute la forêt, vous pouvez continuer à préparer les domaines pour Windows Server 2008.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour préparer un domaine au premier contrôleur de domaine exécutant Windows Server 2008, procédez comme suit :

1. Ouvrez une session sur le maître d'opérations de l'infrastructure du domaine en tant que membre du groupe Administrateurs du domaine.

La leçon 3 décrit la procédure qui permet d'identifier le contrôleur de domaine correspondant au maître d'opérations de l'infrastructure.

2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du maître d'infrastructure.

3. Ouvrez une invite de commande et placez-vous dans le dossier adprep.

4. Tapez adprep /domainprep /gpprep et appuyez sur ENTRÉE.

Sous Windows Server 2003, un message peut vous signaler que les mises à jour étaient inutiles. Vous pouvez ignorer ce message.

Autorisez la réplication de la modification dans toute la forêt avant d'installer un contrôleur de domaine exécutant Windows Server 2008.

Pour préparer AD DS au premier contrôleur de domaine en lecture seule (RODC), procédez comme suit :

1. Ouvrez une session sur un ordinateur quelconque en tant que membre du groupe Administrateurs de l'entreprise.

2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier de l'ordinateur.

3. Ouvrez une invite de commande élevée et placez-vous dans le dossier adprep.

4. Tapez adprep /rodcprep et appuyez sur ENTRÉE.

RODCPREP, à tout moment. Vous pouvez également exécuter la commande adprep /rodcprep à tout moment dans une forêt Windows 2000 Server ou Windows Server 2003. Cette commande ne doit pas obligatoirement être exécutée avec /forestprep. Vous devez toutefois l'exécuter et autoriser la réplication de ses modifications dans toute la forêt avant d'installer le premier contrôleur de domaine en lecture seule.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lectures complémentaires • Exécution de la commande Adprep.exe :


• Commande ADPrep : http://go.microsoft.com/fwlink/?LinkId=168478

• Windows Server 2008 : Annexe des modifications apportées à la commande Adprep.exe pour la prise en charge de AD DS : http://go.microsoft.com/fwlink/?LinkId=168479

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation d'un contrôleur de domaine supplémentaire dans un domaine

Points clés Il est possible d'ajouter d'autres contrôleurs de domaine en installant AD DS et en lançant l'Assistant Installation des services de domaine Active Directory. Vous êtes dans ce cas invité à choisir la configuration du déploiement, à saisir des informations d'identification réseau, à sélectionner un domaine et un site pour le nouveau contrôleur de domaine et à configurer le contrôleur de domaine avec d'autres options telles que Serveur DNS, Catalogue global (GC) ou Contrôleur de domaine en lecture seule (RODC). Les étapes restantes sont les mêmes que pour le premier contrôleur de domaine : configuration des emplacements de fichiers et du mot de passe administrateur de restauration des services d'annuaire.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsqu'un domaine comprend un contrôleur de domaine et que vous cochez la case Utiliser l'installation en mode avancé de la page d'accueil de l'Assistant Installation des services de domaine Active Directory, vous pouvez configurer les options avancées, notamment :

• Installation à partir du support : par défaut, un nouveau contrôleur de domaine réplique toutes les données de toutes les partitions de l'annuaire qu'il hébergera à partir d'autres contrôleurs de domaine pendant l'exécution de l'Assistant Installation des services de domaine Active Directory. Pour améliorer les performances de l'installation, en particulier dans le cas de liaisons lentes, vous pouvez utiliser le support d'installation créé par les contrôleurs de domaine existants. Ce support d'installation est une forme de sauvegarde. Le nouveau contrôleur de domaine est capable de lire les données directement à partir du support d'installation, puis il ne réplique que les mises à jour issues d'autres contrôleurs de domaine. L'Installation à partir du support (IFM) est détaillée à la section « Installation des services de domaine Active Directory à partir du support ».

• Contrôleur de domaine source : si vous voulez désigner le contrôleur de domaine à partir duquel le nouveau contrôleur de domaine réplique ses données, cliquez sur Utiliser ce contrôleur de domaine spécifique.

Remarque : la commande Dcpromo /adv est toujours prise en charge. Sous Windows Server 2003, la commande dcpromo /adv permettait de définir des options d'installation avancées. Le paramètre adv est toujours pris en charge. Il présélectionne l'option Utiliser l'installation en mode avancé de la page d'accueil.

Pour utiliser la commande Dcpromo.exe avec des paramètres de ligne de commande pour spécifier des options d'installation sans assistance, vous pouvez utiliser les paramètres minimaux illustrés dans l'exemple suivant :

dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:contoso.com /installDNS:yes /confirmGC:yes /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /rebootOnCompletion:yes

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Si vous n'êtes pas connecté au serveur avec des informations d'identification de domaine, spécifiez également les paramètres domaineUtilisateur et nomUtilisateur. Voici un fichier de réponses minimal pour ajouter un contrôleur de domaine supplémentaire dans un domaine existant :

[DCINSTALL] ReplicaOrNewDomain=replica ReplicaDomainDNSName=nom complet du domaine à joindre UserDomain=nom complet du domaine du compte utilisateur UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) Password=mot de passe de l'utilisateur spécifié par UserName (* pour l'invite) InstallDNS=yes ConfirmGC=yes DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation d'un nouveau domaine enfant Windows Server 2008

Points clés Si vous avez déjà un domaine existant, vous pouvez créer un nouveau domaine enfant en créant un contrôleur de domaine Windows Server 2008. Avant d'effectuer cette opération, toutefois, vous devez exécuter la commande adprep /forestprep selon les descriptions de la section précédente, « Préparation d'un domaine existant aux contrôleurs de domaine Windows Server 2008 ».

Installez ensuite AD DS et lancez l'Assistant Installation des services de domaine Active Directory, puis cliquez sur Forêt existante et Créer un nouveau domaine dans une forêt existante dans la page Choisissez une configuration de déploiement. Vous êtes alors invité à sélectionner le niveau fonctionnel du domaine. Comme il s'agit du premier contrôleur du domaine, il ne peut pas être en lecture seule et ne peut pas être installé à partir du support. Si vous cochez la case Utiliser l'installation en mode avancé de la page d'accueil, l'Assistant présente la page Contrôleur de domaine source qui vous permet de définir le contrôleur de domaine à partir duquel s'effectuera la réplication de la configuration et des partitions du schéma.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


La commande dcpromo.exe permet de créer un domaine enfant avec les options minimales illustrées dans la commande suivante :

dcpromo /unattend /installDNS:yes /replicaOrNewDomain:domain /newDomain:child /ParentDomainDNSName:contoso.com /newDomainDnsName:subsidiary.contoso.com /childName:subsidiary /DomainNetbiosName:subsidiary /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes

Ces mêmes paramètres minimaux se reflètent dans le fichier de réponses suivant :

[DCINSTALL] ReplicaOrNewDomain=domain NewDomain=child ParentDomainDNSName=nom complet du domaine parent UserDomain=nom complet de l'utilisateur spécifié par UserName UserName=DOMAIN\username (avec l'autorisation d'ajouter un domaine enfant) Password=mot de passe de l'utilisateur spécifié par UserName ou * pour l'invite ChildName=préfixe en une partie du domaine (le nom complet du domaine enfant sera NomEnfant.NomCompletDomaineParent) DomainNetBiosName=nom NetBIOS du domaine DomainLevel=niveau fonctionnel du domaine (non inférieur au niveau actuel de la forêt) InstallDNS=yes CreateDNSDelegation=yes DNSDelegationUserName=DOMAIN\nom d'utilisateur avec autorisation de créer une délégation DNS, si différent de UserName, ci-dessus DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour l'invite DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation d'une nouvelle arborescence de domaine dans une forêt

Points clés Au Module 1, « Présentation des Services de domaine Active Directory », vous avez appris que, dans une forêt Active Directory, l'arborescence se composait d'un ou de plusieurs domaines partageant un espace de noms DNS contigu. Par exemple, les domaines contoso.com et subsidiary.contoso.com seraient placés dans une même arborescence.

Les autres arborescences correspondent simplement à d'autres domaines de la même forêt mais qui n'appartiennent pas au même espace de noms. Par exemple, si la société Contoso faisait l'acquisition de la société Tailspin Toys, le domaine tailspintoys.com serait dans une autre arborescence du domaine. D'un point de vue fonctionnel, il n'existe que très peu de différence entre un domaine enfant et un domaine d'une autre arborescence, et la procédure de création d'une nouvelle arborescence est, par conséquent, très proche de celle d'un domaine enfant.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


D'abord, vous devez exécuter la commande adprep /forestprep selon les descriptions de la section précédente, « Préparation d'un domaine existant aux contrôleurs de domaine Windows Server 2008 ». Vous pouvez ensuite installer AD DS et exécuter l'Assistant Installation des services de domaine Active Directory.

Dans la page d'accueil de l'Assistant, vous devez sélectionner Utiliser l'installation en mode avancé. Dans la fenêtre Choisissez une configuration de déploiement, cliquez sur Forêt existante, sélectionnez Créer un nouveau domaine dans une forêt existante, puis Créer une nouvelle racine d'arborescence de domaine au lieu d'un nouveau domaine enfant. La suite de la procédure est la même que pour la création d'un nouveau domaine enfant.

Les options suivantes, fournies sous forme de paramètres de la commande dcpromo.exe, créent une nouvelle arborescence pour le domaine tailspintoys.com dans la forêt contoso.com :

dcpromo /unattend /installDNS:yes /replicaOrNewDomain:domain /newDomain:tree /newDomainDnsName:tailspintoys.com /DomainNetbiosName:tailspintoys /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /domainLevel:2 /rebootOnCompletion:yes

Le niveau fonctionnel du domaine étant configuré sur 2 (Windows Server 2003 Natif), le domaine peut inclure des contrôleurs de domaine Windows Server 2003.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Voici un fichier de réponses d'installation sans assistance qui crée la même arborescence :

[DCINSTALL] ReplicaOrNewDomain=domain NewDomain=tree NewDomainDNSName=nom complet du nouveau domaine DomainNetBiosName=nom NetBIOS du nouveau domaine UserDomain=nom complet de l'utilisateur spécifié par UserName UserName=DOMAINE\nomUtilisateur (avec autorisation de créer un nouveau domaine) Password=mot de passe de l'utilisateur spécifié par UserName ou * pour l'invite DomainLevel=niveau fonctionnel du domaine (non inférieur au niveau actuel de la forêt) InstallDNS=yes ConfirmGC=yes CreateDNSDNSDelegation=yes DNSDelegationUserName=compte avec autorisation de créer une délégation DNS requis uniquement si différent de UserName, ci-dessus DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour l'invite DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation intermédiaire d'un contrôleur de domaine en lecture seule

Points clés Comme vous l'avez vu au Module 9, « Amélioration de la sécurité de l'authentification dans un domaine Services de domaine Active Directory (AD DS) », les contrôleurs de domaine en lecture seule sont conçus pour prendre en charge les scénarios de filiales en assurant une authentification locale pour le site tout en réduisant les risques de sécurité et d'intégrité des données associés au placement d'un contrôleur de domaine dans un environnement moins bien contrôlé. Le plus souvent, la filiale ne dispose que d'un personnel informatique très limité, voire pas du tout. Dans ce cas, comment créer un contrôleur de domaine dans une filiale ?

Pour répondre à cette question, Windows Server 2008 vous permet de créer une installation intermédiaire, ou déléguée, d'un contrôleur de domaine en lecture seule. La procédure comprend deux étapes :

• Création du compte du contrôleur de domaine en lecture seule (RODC) : un membre du groupe Admins du domaine crée un compte pour le RODC dans Active Directory. Les paramètres liés au RODC sont spécifiés à ce stade : le nom, le site Active Directory dans lequel le RODC sera créé et, éventuellement, l'utilisateur ou le groupe autorisé à exécuter l'a prochaine étape de l'installation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Association du serveur au compte RODC : une fois le compte créé, AD DS est installé. Le serveur, qui doit être membre d'un groupe de travail et non du domaine, est alors lié au domaine et au compte prédéfini en tant que RODC. Ces étapes peuvent être effectuées par les utilisateurs ou les groupes définis lors de la création du compte intermédiaire du RODC. Ces utilisateurs n'ont pas besoin d'appartenir à un groupe avec privilèges. Un membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise peut également associer un serveur, mais la délégation potentielle de cette phase à un utilisateur sans privilège simplifie grandement le déploiement des RODC dans les filiales non dotées de service informatique. Le contrôleur de domaine répliquera ses données à partir d'un autre contrôleur du domaine inscriptible. La méthode IFM présentée à la section « Installation des services de domaine Active Directory à partir du support » peut également être utilisée.

Création du compte intermédiaire du RODC

Pour créer le compte du RODC dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez du bouton droit sur l'unité d'organisation Contrôleurs de domaine et choisissez Créer au préalable un compte de contrôleur de domaine en lecture seule. L'Assistant qui s'affiche ressemble beaucoup à l'Assistant Installation des services de domaine Active Directory. Il vous invite à spécifier le nom et le site du RODC. Vous pouvez également configurer la stratégie de réplication des mots de passe, selon les instructions du Module 9, « Amélioration de la sécurité de l'authentification dans un domaine Services de domaine Active Directory (AD DS) ».

La page Délégation de l'installation et de l'administration du contrôleur de domaine en lecture seule (RODC), vous permet de spécifier une entité de sécurité, utilisateur ou groupe, pouvant associer le serveur au compte du RODC que vous créez. L'utilisateur ou le groupe disposera de droits d'administration sur le RODC après l'installation. Il est recommandé de désigner un groupe plutôt qu'un utilisateur. Si vous ne désignez pas un utilisateur ou un groupe, seuls les membres des groupes Administrateurs du domaine ou Administrateurs de l'entreprise peuvent associer le serveur au compte.

Vous pouvez créer des comptes RODC prédéfinis en utilisant la commande dcpromo.exe avec de nombreux paramètres ou en créant un fichier de réponses pour la commande dcpromo.exe. Vous trouverez la procédure appropriée à l'adresse : http://go.microsoft.com/fwlink/?LinkId=168471.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Association d'un serveur à un compte RODC prédéfini

Points clés Une fois le comte prédéfini, vous pouvez lui associer un serveur.

Pour associer un serveur à un compte RODC prédéfini :

1. Vérifiez que le serveur est membre d'un groupe de travail et non du domaine.

Promotion à partir d'un groupe de travail. Lorsque vous créez un RODC par l'approche intermédiaire (c'est-à-dire lorsque vous associez un RODC à un compte prédéfini), le serveur doit être membre d'un groupe de travail, pas du domaine, lorsque vous lancez la commande dcpromo.exe ou l'Assistant Installation des services de domaine Active Directory. L'Assistant recherchera le compte existant par son nom dans le domaine et l'associera à ce compte.

2. Exécutez dcpromo.exe /UseExistingAccount:attach.

L'Assistant vous demande des informations d'identification réseau, puis localise le compte RODC désigné par ces informations dans le domaine. Les étapes restantes sont les mêmes que pour les autres opérations de promotion de contrôleurs de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour utiliser un fichier de réponses, fournissez les options et valeurs suivantes :

[DCINSTALL] ReplicaDomainDNSName=nom complet du domaine à joindre UserDomain=nom complet de l'utilisateur spécifié par UserName UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) Password=mot de passe de l'utilisateur spécifié par UserName InstallDNS=yes ConfirmGC=yes DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

Exécutez la commande dcpromo avec les options /unattend:"chemin d'accès du fichier de réponses” et /UseExistingAccount:Attach, comme dans l'exemple suivant :

dcpromo /useexistingaccount:attach /unattend:"c:\rodcanswer.txt"

Toutes les options indiquées dans le fichier de réponses peuvent également être spécifiées ou remplacées directement sur la ligne de commande. Saisissez simplement une commande similaire à celle-ci :

dcpromo /unattend /UseExistingAccount:Attach /ReplicaDomainDNSName:contoso.com /UserDomain:contoso.com /UserName:contoso\dan /password:* /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /rebootOnCompletion:yes

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation d'AD DS à partir du support

Points clés Lorsque vous ajoutez des contrôleurs de domaine à une forêt, les données existantes des partitions de l'annuaire sont répliquées dans le nouveau contrôleur de domaine. Dans un environnement doté d'un annuaire très volumineux ou lorsque la bande passante est limitée entre un nouveau DC et le DC inscriptible à partir duquel la réplication doit s'effectuer, l'option d'installation à partir du support (IFM) permet d'installer AD DS plus efficacement.

L'installation à partir du support implique la création d'un support d'installation, sauvegarde spéciale d'Active Directory que l'Assistant Installation des services de domaine Active Directory peut utiliser comme source de données pour renseigner l'annuaire du nouveau DC. Ce dernier ne réplique ensuite que les mises à jour issues d'un autre DC inscriptible. Ainsi, un support d'installation récent permet de réduire l'impact de la réplication dans un nouveau DC.

N'oubliez pas que la réplication vers un nouveau contrôleur de domaine ne concerne pas uniquement l'annuaire mais également le dossier SYSVOL. Lorsque vous créez votre support d'installation, vous pouvez y inclure ou non le dossier SYSVOL.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


L'installation IFM vous permet également de contrôler le moment de l'impact sur la bande passante du réseau. Vous pouvez par exemple créer un support d'installation et le transférer vers un site distant en dehors des heures de bureau, puis créer le contrôleur de domaine pendant les heures ouvrables habituelles. Le support d'installation étant stocké dans le site local, l'impact sur le réseau est réduit, et seules les mises à jour sont répliquées via la liaison au site distant.

Pour créer un support d'installation :

1. Ouvrez une invite de commande élevée sur un contrôleur de domaine inscriptible et exécutant Windows Server 2008.

Le support d'installation permet de créer des contrôleurs de domaine inscriptibles et en lecture seule.

2. Exécutez la commande ntdsutil.exe.

3. À l'invite de commande ntdsutil, tapez activate instance ntds et appuyez sur ENTRÉE.

4. Tapez ifm et appuyez sur ENTRÉE.

5. À l'invite de commande ifm:, tapez l'une des commandes suivantes, selon le type de support d'installation que vous souhaitez créer :

• create sysvol full chemin d'accès : crée un support d'installation avec SYSVOL pour un contrôleur de domaine inscriptible dans le dossier spécifié par chemin d'accès.

• create full chemin d'accès : crée un support d'installation sans dossier SYSVOL pour un contrôleur de domaine inscriptible ou une instance des services AD LDS (Active Directory Lightweight Directory Services) dans le dossier spécifié par chemin d'accès.

• create sysvol rodc chemin d'accès : crée un support d'installation avec dossier SYSVOL pour un contrôleur de domaine en lecture seule dans le dossier spécifié par chemin d'accès.

• create rodc chemin d'accès : crée un support d'installation sans dossier SYSVOL pour un contrôleur de domaine en lecture seule dans le dossier spécifié par chemin d'accès.

Lorsque vous exécutez l'Assistant Installation des services de domaine Active Directory, cochez la case Utiliser l'installation en mode avancé pour que l'Assistant présente par la suite la page Installation à partir du support (IFM). Choisissez Répliquer les données à partir du support à l'emplacement suivant. Vous pouvez utiliser l'option d'installation ReplicationSourcePath dans un fichier de réponses ou à la ligne de commande dcpromo.exe.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Suppression d'un contrôleur de domaine

Points clés Vous pouvez supprimer un contrôleur de domaine à l'aide de la commande Dcpromo.exe, en lançant l'Assistant Installation des services de domaine Active Directory ou à partir d'une invite de commande, en définissant les options sur la ligne de commande ou dans un fichier de réponses. Lorsqu'un contrôleur de domaine est supprimé alors qu'il est connecté au domaine, il actualise les métadonnées de la forêt relatives à ce contrôleur de domaine afin d'en signaler la suppression à l'annuaire.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour utiliser un fichier de réponses, fournissez les options et valeurs suivantes :

[DCINSTALL] UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) UserDomain=nom complet de l'utilisateur spécifié par UserName Password=mot de passe de l'utilisateur spécifié par UserName AdministratorPassword=mot de passe qui sera attribué à l'Administrateur local RemoveApplicationPartitions=yes RemoveDNSDelegation=yes DNSDelegationUserName=DOMAINE\nom d'utilisateur autorisé à supprimer la délégation DNS DNSDelegationPassword=mot de passe du compte

Exécutez la commande dcpromo avec les options /unattend:"chemin d'accès du fichier de réponses" et /UninstallBinaries, comme dans l'exemple suivant :

dcpromo /uninstallbinaries /unattend:"c:\rodcanswer.txt"

Toutes les options indiquées dans le fichier de réponses peuvent également être spécifiées ou remplacées directement sur la ligne de commande. Saisissez simplement une commande similaire à celle-ci :

dcpromo /unattend /uninstallbinaries /UserName:contoso\dan /password:* /administratorpassword:Pa$$w0rd

Lorsqu'un contrôleur de domaine doit être rétrogradé alors qu'il ne peut pas contacter le domaine, vous devez utiliser l'option forceremoval de la commande dcpromo.exe. Tapez dcpromo /forceremoval, et laissez-vous guider par l'Assistant Installation des services de domaine Active Directory. L'assistant vous présente des avertissements sur les rôles hébergés par le contrôleur de domaine. Lisez chaque avertissement et, après en avoir réduit ou accepté l'impact, cliquez sur Oui. Vous pouvez supprimez les avertissements via l'option demotefsmo:yes de la commande dcpromo.exe. Après la suppression du contrôleur de domaine, vous devez nettoyer manuellement les métadonnées de la forêt.

Lectures complémentaires • Pour plus d'informations sur la suppression d'un contrôleur de domaine,

consultez http://go.microsoft.com/fwlink/?LinkId=168480.

• Pour plus d'informations sur le nettoyage des métadonnées, consultez l'article 216498 de la Base de connaissances Microsoft. Cet article est disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=80481.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique A : Installation de contrôleurs de domaine

Scénario Vous avez été engagé pour remplacer l'ancien administrateur de la société Contoso, Ltd. La première chose que vous découvrez est que le domaine ne comprend qu'un seul contrôleur de domaine. Vous décidez d'en ajouter un second pour assurer la tolérance de panne du service d'annuaire. Vous avez déjà installé un nouveau serveur nommé HQDC02.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Création d'un contrôleur de domaine supplémentaire avec l'Assistant Installation des services de domaine Active Directory Dans cet exercice, vous allez utiliser l'Assistant Installation des services de domaine Active Directory (DCPromo.exe) pour créer un contrôleur de domaine supplémentaire dans le domaine contoso.com. Toutefois, vous ne terminerez pas l'installation mais enregistrerez les paramètres sous la forme d'un fichier de réponses que vous utiliserez dans l'exercice suivant.



2. Promouvoir un contrôleur de domaine à l'aide de l'Assistant Installation des services de domaine Active Directory.

Tâche 1 : Préparation de l'atelier pratique • Démarrez 6238B-HQDC01-A et ouvrez une session avec le compte

Pat.Coleman et le mot de passe Pa$$w0rd.

• Démarrez 6238B-HQDC02-A, un serveur du groupe de travail, et ouvrez une session en tant qu'Administrateur local avec le mot de passe Pa$$w0rd.

Tâche 2 : Promotion d'un contrôleur de domaine à l'aide de l'Assistant Installation des services de domaine Active Directory • Dans HQDC02, exécutez DCPromo.exe. Acceptez tous les paramètres fournis

par défaut par l'Assistant Administration d'Active Directory, à l'exception de ceux répertoriés ci-dessous :

• Contrôleur de domaine supplémentaire dans une forêt existante

• Domaine : contoso.com

• Autres informations d'identification : Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Sélectionnez le domaine : contoso.com.

• Lorsqu'un avertissement vous signale qu'une adresse IP est attribuée dynamiquement à HQDC01, cliquez sur Oui, l'ordinateur utilisera une adresse IP attribuée dynamiquement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Lorsqu'un avertissement vous signale que la délégation DNS est introuvable, cliquez sur Oui.

• Mot de passe administrateur du Mode restauration des services d'annuaire : Pa$$w0rd

• Vérifiez vos sélections dans la page Résumé. Si l'un des paramètres est incorrect, cliquez sur Précédent pour le modifier.

• Exportez les paramètres dans un fichier stocké sur votre Bureau et nommé AdditionalDC.

• À la page Résumé, annulez l'installation du contrôleur de domaine. Ne continuez pas la procédure de l'Assistant Installation des services de domaine Active Directory.

Résultats : Au terme de cet exercice, vous aurez simulé la promotion de HQDC02 en contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Ajout d'un contrôleur de domaine à partir de la ligne de commande Dans cet exercice, vous allez examiner le fichier de réponses que vous avez créé à l'Exercice 1. Vous utiliserez ensuite les options d'installation du fichier de réponses pour créer une ligne de commande dcpromo.exe et installer le contrôleur de domaine supplémentaire.


1. Créer la commande DCPromo.

2. Exécuter la commande DCPromo.

Tâche 1 : Création de la commande DCPromo • Ouvrez le fichier AdditionalDC.txt créé à l'Exercice 1. Examinez les réponses

du fichier. Comprenez-vous la signification de certaines options ?

Conseil : les lignes qui commencent par un point-virgule sont des commentaires ou des lignes inactives dont les commentaires ont été supprimés.

• Ouvrez une seconde instance du Bloc-notes, sous forme de nouveau fichier texte. Activez le retour automatique à la ligne. Positionnez les fenêtres de manière à voir le fichier texte vide et le fichier AdditionalDC.txt de référence.

• Dans le Bloc-notes, tapez la ligne de commande dcpromo.exe comme s'il s'agissait d'une invite de commande. Identifiez la ligne de commande chargée d'installer le contrôleur de domaine avec les mêmes options que celles répertoriées dans le fichier de réponses. Les paramètres de la ligne de commande prennent la forme /option:valeur alors que, dans le fichier de réponses, ils sont au format option=valeur. Configurez les valeurs Password et SafeModeAdminPassword sur Pa$$w0rd. Demandez à DCPromo de redémarrer à la fin de l'opération.

• Comme vous l'apprendrez à l'Atelier B, vous pouvez définir la valeur du mot de passe sur un astérisque (*). Vous serez alors invité à saisir le mot de passe lors de l'exécution de la commande.

• Une fois la commande créée, ouvrez le fichier Exercise2.txt, stocké dans le dossier \\HQDC01\d$\Labfiles\Lab11a. Comparez la commande correcte du fichier Exercise2.txt à celle que vous avez créée à l'étape précédente. Apportez les corrections nécessaires à votre commande.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 2 : Exécution de la commande DCPromo • Ouvrez la fenêtre d'invite de commande.

• Revenez au fichier du Bloc-notes contenant la commande dcpromo.exe que vous avez créée à l'étape 1. Désactivez le retour à la ligne, copiez la ligne de commande que vous avez créée et collez-la dans la fenêtre d'invite de commande, puis appuyez sur ENTRÉE pour exécuter la commande.

HQDC02 est promu contrôleur de domaine. Cette opération peut prendre quelques minutes.

Résultats : Au terme de cet exercice, vous aurez promu HQDC02 en tant que contrôleur de domaine supplémentaire du domaine et de la forêt contoso.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Suppression d'un contrôleur de domaine Dans cet exercice, vous allez supprimer un contrôleur du domaine contoso.com.


• Supprimer un contrôleur de domaine.

Tâche 1 : Suppression d'un contrôleur de domaine • Après le redémarrage de HQDC02, ouvrez une session avec le compte


• Exécutez DCPromo en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Acceptez tous les paramètres présentés par défaut par l'Assistant et configurez le nouveau mot de passe Administrateur sur Pa$$w0rd. Redémarrez le serveur à la fin du processus.

Résultats : Au terme de cet exercice, vous aurez rétrogradé HQDC02 en serveur membre.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 4 : Création d'un contrôleur de domaine à partir du support d'installation Pour réduire la somme de réplication requise pour créer un contrôleur de domaine, vous pouvez promouvoir le contrôleur de domaine via l'option IFM. L'option IFM implique que vous fournissiez un support d'installation, c'est-à-dire en réalité une sauvegarde d'Active Directory. Dans cet exercice, vous allez créer le support d'installation dans HQDC01, le transférer vers HQDC02, puis simuler la promotion de HQDC02 en contrôleur de domaine via le support d'installation.


1. Créer un support d'installation.

2. Promouvoir un contrôleur de domaine à l'aide du support d'installation.

Tâche 1 : Création d'un support d'installation 1. Dans HQDC01, exécutez l'invite de commande en tant qu'administrateur, avec

le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Utilisez la commande ntdsutil.exe pour créer un support d'installation dans un dossier nommé C:\IFM.

Tâche 2 : Promotion d'un contrôleur de domaine à l'aide du support d'installation 1. Ouvrez une session sur HQDC02 avec le compte Pat.Coleman et le mot de

passe Pa$$w0rd.

2. Copiez le dossier IFM du lecteur C de HQDC01 dans le lecteur C de HQDC02.

3. Dans HQDC02, exécutez DCPromo.exe. Acceptez tous les paramètres fournis par défaut par l'Assistant Installation des services de domaine Active Directory, à l'exception de ceux répertoriés ci-dessous :

• Contrôleur de domaine supplémentaire dans une forêt existante

• Domaine : contoso.com.

• Utilisateur : Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Sélectionnez le domaine : contoso.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Lorsqu'un avertissement vous signale qu'une adresse IP est attribuée dynamiquement à HQDC01, cliquez sur Oui, l'ordinateur utilisera une adresse IP attribuée dynamiquement.

• Lorsqu'un avertissement vous signale que la délégation DNS est introuvable, cliquez sur Oui.

• Installation à partir du support : Répliquez les données à partir du support stocké dans le dossier C:\IFM.

• Après la page Contrôleur de domaine source, annulez l'Assistant sans terminer la promotion.

Résultats : Au terme de cet exercice, vous aurez créé un support d'installation dans HQDC01 et simulé la promotion de HQDC02 en contrôleur de domaine via le support d'installation.

Remarque : Arrêtez HQDC02, mais pas HQDC01 puisque vous allez l'utiliser dans le cadre de l'Atelier B.


Question : Pourquoi choisir d'utiliser un fichier de réponses ou une ligne de commande dcpromo.exe pour installer un contrôleur de domaine plutôt que d'utiliser l'Assistant Installation des services de domaine Active Directory ?

Question : Dans quels cas est-il justifié de créer un contrôleur de domaine à l'aide d'un support d'installation ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 2 Installation d'un contrôleur de domaine Server Core

La plupart des organisations souhaitent implémenter une sécurité maximale pour les serveurs jouant le rôle de contrôleurs de domaine du fait de la nature sensible des informations stockées dans l'annuaire, notamment les mots de passe des utilisateurs. Bien que la configuration à base de rôles de Windows Server 2008 réduise la surface de sécurité d'un serveur en installant uniquement les composants et services requis par ses rôles, il est possible de réduire encore davantage ces serveurs et leur surface de sécurité en utilisant une installation minimale (Server Core). Server Core est une installation minimale de Windows qui laisse de côté l'interface utilisateur graphique de l'Explorateur Windows et Microsoft .NET Framework. Vous pouvez gérer l'installation minimale à distance, à l'aide des outils d'interface utilisateur graphique, mais pour configurer et gérer un serveur localement, vous devez utiliser les outils de ligne de commande. Dans cet exercice, vous allez apprendre à créer un contrôleur de domaine via la ligne de commande dans le cadre d'une installation minimale. Vous allez également apprendre à supprimer des contrôleurs d'un domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• Identifier les avantages et les fonctionnalités d'une installation minimale

• Installer et configurer une installation minimale

• Ajouter et supprimer des services de domaine Active Directory à l'aide des outils de ligne de commande

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement de Server Core

Points clés Windows Server 2008 (installation minimale), plus connu sous le nom de Server Core, est une installation minimale de Windows qui occupe environ 3 Go d'espace disque et moins de 256 Mo de mémoire. Server Core limite les rôles de serveur et les fonctionnalités qu'il est possible d'ajouter mais améliore la sécurité et les capacités de gestion du serveur en réduisant sa surface d'attaque. Le nombre de services et de composants fonctionnant simultanément étant limité, les intrus éventuels ont moins d'opportunités de compromettre le serveur. Server Core réduit également la charge de gestion du serveur, qui nécessite moins de mises à jour et de maintenance.

Server Core prend en charge neuf rôles de serveur :

• Services de domaine Active Directory (AD DS)

• Services AD LDS (Active Directory Lightweight Directory Services)

• Serveur DHCP (Dynamic Host Configuration Protocol)

• Serveur DNS

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Services de fichiers

• Serveur d'impression

• Services de diffusion multimédia en continu

• Serveur Web (IIS) (en tant que serveur Web statique, ASP.NET ne peut pas être installé)

• Hyper-V™ (Virtualisation Windows Server)

Server Core prend également en charge les 11 fonctionnalités facultatives suivantes :

• Cluster de basculement Microsoft

• Équilibrage de la charge réseau

• Sous-système pour les applications UNIX

• Sauvegarde Windows

• MPIO (Multipath I/O)

• Gestion du stockage amovible

• Chiffrement de lecteur BitLocker® Windows

• Protocole SNMP (Simple Network Management Protocol)

• Service WINS

• Client Telnet

• Qualité de service (QoS)

Lectures complémentaires • Option d'installation Server Core :


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Installation de Windows dans sa version minimale

Points clés Vous pouvez installer Windows dans sa version minimale avec la même procédure que pour une installation complète. Les différences entre une installation complète et une installation minimale sont, tout d'abord, la sélection de l'Installation minimale dans l'Assistant Installation de Windows illustré à la page suivante, puis l'affichage d'une invite de commandes à la place de l'interface Explorateur Windows lorsque vous ouvrez une session à la fin de l'installation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsque vous installez Windows Server 2008 à partir de son DVD, le mot de passe initial du compte Administrateur est vide. Lorsque vous ouvrez pour la première fois une session sur le serveur, utilisez un mot de passe vide. Vous serez invité à modifier le mot de passe lors de la première ouverture de session.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Commandes de configuration de Server Core

Points clés Lors d'une installation complète de Windows Server 2008, la fenêtre Tâches de configuration initiales s'affiche pour vous guider tout au long de la configuration après installation du serveur. L'installation minimale ne comporte pas d'interface utilisateur graphique, vous devez donc effectuer ces tâches à l'aide des outils de ligne de commande Le tableau suivant répertorie les principales tâches de configuration et les commandes que vous pouvez utiliser. Pour plus d'informations sur une commande, ouvrez une invite de commande et tapez le nom de la commande suivie de /?.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Commandes de configuration de Server Core

Tâche Commande

Modifier le mot de passe Administrateur

Lorsque vous ouvrez une session avec CTRL+ALT+SUPPR, vous êtes invité à modifier le mot de passe. Vous pouvez également taper la commande suivante : net user administrator *

Définir une configuration IPv4 statique

netsh interface ipv4

Activer Windows Server cscript c:\windows\system32\slmgr.vbs –ato

Joindre un domaine netdom

Ajouter des rôles, des composants ou des fonctionnalités à l'installation minimale

ocsetup.exe package ou fonctionnalité Notez que les noms de package ou de fonctionnalité respectent la casse.

Afficher les rôles, les composants et les fonctionnalités installés

oclist.exe

Activer le Bureau à distance cscript c:\windows\system32\scregedit.wsf /AR 0

Promouvoir un contrôleur de domaine

dcpromo.exe

Configurer DNS dnscmd.exe

Configurer DFS dfscmd.exe

La commande Ocsetup.exe permet d'ajouter des rôles et des fonctionnalités Server Core au serveur. Les services de domaine Active Directory sont la seule exception à cette règle. N'utilisez pas la commande Ocsetup.exe pour ajouter ou supprimer AD DS. Utilisez dans ce cas la commande Dcpromo.exe.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


L'Assistant Installation des services de domaine Active Directory n'étant pas disponible lors d'une installation minimale, vous devez utiliser la ligne de commande pour exécuter Dcpromo.exe avec les paramètres qui configurent AD DS. Pour plus d'informations sur les paramètres de la commande dcpromo.exe, ouvrez une ligne de commande et tapez dcpromo.exe /?. Chaque scénario de configuration s'accompagne d'informations d'utilisation complémentaires. Par exemple, tapez dcpromo.exe /?:Promotion pour obtenir des instructions d'utilisation détaillées sur la promotion d'un contrôleur de domaine.

Lectures complémentaires • Annexe des paramètres d'installation sans assistance :


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique B : Installation d'un contrôleur de domaine Server Core

Scénario Vous êtes administrateur de domaine chez Contoso, Ltd. et vous souhaitez ajouter un contrôleur de domaine dans l'environnement AD DS. Pour renforcer la sécurité du nouveau contrôleur de domaine, vous envisagez d'utiliser une installation minimale. Vous avez déjà effectué une installation minimale sur un nouvel ordinateur et êtes prêt à configurer le serveur en tant que contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Configuration après l'installation minimale Dans cet exercice, vous allez effectuer une configuration après l'installation du serveur afin de le préparer en utilisant le nom et les paramètres TCP/IP requis pour les exercices restant de cet atelier.



2. Configuration après l'installation minimale.

Tâche 1 : Préparation de l'atelier pratique L'ordinateur virtuel 6238B-HQDC01-A doit être prêt après l'Atelier pratique A.

• Démarrez 6238B-HQDC01-A sans ouvrir de session.

• Démarrez 6238B-HQDC03-A sans ouvrir de session.

Tâche 2 : Configuration après l'installation minimale • Ouvrez une session sur l'ordinateur HQDC03 avec le compte Administrator

et le mot de passe Pa$$w0rd.

• Configurez l'adresse IPv4 et le serveur DNS en tapant chacune des commandes suivantes :

netsh interface ipv4 set address name="Local Area Connection" source=static address=10.0.0.13 mask=255.255.255.0 gateway=10.0.0.1 netsh interface ipv4 set dns name="Local Area Connection" source=static address=10.0.0.11 primary

• Vérifiez la configuration IP saisie précédemment avec la commande ipconfig /all.

• Renommez le serveur en tapant netdom renamecomputer %nomOrdinateur% /newname:HQDC03. Vous serez invité à appuyer sur Y pour confirmer l'opération.

• Redémarrez en tapant shutdown -r -t 0.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Ouvrez une session en tant qu'Administrator avec le mot de passe Pa$$w0rd.

• Rejoignez le domaine à l'aide de la commande suivante :

netdom join %nomOrdinateur% /domain:contoso.com /UserD:CONTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd /OU:"ou=servers,dc=contoso,dc=com"

• Redémarrez en tapant shutdown -r -t 0.

Résultats : Au terme de cet exercice, vous aurez configuré l'installation minimale en tant que membre du domaine contoso.com sous le nom HQDC03.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Création d'un contrôleur de domaine via l'installation minimale Dans cet exercice, vous allez ajouter les rôles DNS et AD DS à l'installation minimale.


1. Ajouter le rôle de serveur DNS à l'installation minimale.

2. Créer un contrôleur de domaine dans l'installation minimale via la commande dcpromo.exe.

Tâche 1 : Ajout du rôle de serveur DNS à l'installation minimale • Ouvrez une session sur l'ordinateur HQDC03 avec le compte

Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Affichez les rôles de serveur disponibles en tapant oclist. Quel est l'identifiant du package du rôle de serveur DNS ? Quel est son état ?

• Tapez ocsetup et appuyez sur ENTRÉE. Surprise ! L'installation minimale comprend un minimum d'interface utilisateur graphique. Cliquez sur OK pour fermer la fenêtre.

• Tapez ocsetup DNS-Server-Core-Role. Remarquez que les identifiants de package respectent la casse.

• Tapez oclist et vérifiez que le rôle de serveur DNS a bien été installé.

Tâche 2 : Création d'un contrôleur de domaine dans l'installation minimale via la commande dcpromo.exe • Vérifiez que vous êtes toujours connecté sur l'ordinateur HQDC03 avec le

compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Tapez dcpromo.exe /? et appuyez sur ENTRÉE. Passez en revue les informations d'utilisation.

• Tapez dcpromo.exe /?:Promotion et appuyez sur ENTRÉE. Passez en revue les informations d'utilisation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Tapez la commande suivante pour ajouter et configurer le rôle AD DS, puis appuyez sur ENTRÉE :

dcpromo /unattend /ReplicaOrNewDomain:replica /ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes /UserName:CONTOSO\Pat.Coleman_Admin /Password:* /safeModeAdminPassword:Pa$$w0rd

• Lorsque vous êtes invité à saisir des informations d'identification réseau, tapez Pa$$w0rd, puis cliquez sur OK. Le rôle AD DS est installé et configuré, puis le serveur redémarre.

Résultats : Au terme de cet exercice, vous aurez promu le serveur d'installation minimale, HQDC03, en contrôleur du domaine contoso.com.

Remarque : vous pouvez arrêter les deux ordinateurs virtuels car l'atelier suivant en utilise d'autres.


Question : Avez-vous trouvé la configuration d'une installation minimale particulièrement difficile ?

Question : Quels sont les avantages de l'utilisation d'une installation minimale pour les contrôleurs de domaine ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 3 Gestion des maîtres d'opérations

Dans un domaine Active Directory, tous les contrôleurs de domaine sont équivalents. Ils sont tous capables d'écrire dans la base de données et de répliquer les modifications dans les autres contrôleurs de domaine. Toutefois, dans une topologie de réplication multimaître, certaines opérations doivent être effectuées par un seul et unique système. Dans un domaine Active Directory, les maîtres d'opération sont les contrôleurs de domaine chargés de ce rôle spécifique. Les autres contrôleurs de domaine sont capables de jouer ce rôle mais ne le font pas. Cette leçon décrit les cinq maîtres d'opérations disponibles dans les forêts et domaines Active Directory. Vous découvrirez leurs objectifs et apprendrez à identifier les maîtres d'opérations dans votre entreprise et les nuances de l'administration et du transfert des rôles.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• définir l'objectif des cinq opérations à maître unique des forêts Active Directory ;

• identifier les contrôleurs de domaine jouant le rôle de maître d'opérations ;

• planifier l'emplacement des rôles de maître d'opérations ;

• transférer et capter des rôles de maître d'opérations.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement des opérations à maître unique

Points clés Dans toute base de données répliquée, certaines modifications doivent être exécutées par un seul et unique réplica car une exécution en mode multimaître serait quasiment impossible. Active Directory ne fait pas exception à cette règle. Un nombre limité d'opérations ne peuvent pas se produire simultanément en des emplacements différents et doivent être confiées à un seul contrôleur de domaine d'une forêt ou d'un domaine. Ces opérations, et les contrôleurs de domaine qui les exécutent, sont désignés par différents termes :

• Maîtres d'opérations

• Rôles de maître d'opérations

• Rôles de maître unique

• Jetons d'opération

• Opérations à maître unique flottant (FSMO)

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Quel que soit le terme utilisé, l'idée est la même. Un seul contrôleur de domaine effectue une fonction et, pendant cette opération, aucun autre contrôleur de domaine n'effectue cette même fonction.

Tous les contrôleurs de domaine Active Directory sont capables d'exécuter des opérations à maître unique. Le contrôleur de domaine qui effectue véritablement l'opération est celui qui détient actuellement le jeton de l'opération.

Un jeton d'opération, donc le rôle, peut aisément être transmis à un autre contrôleur de domaine sans redémarrage.

Pour réduire les risques de points de défaillance uniques, les jetons d'opération peuvent être répartis entre plusieurs contrôleurs de domaine.

AD DS contient cinq rôles de maître d'opérations. Deux rôles sont exécutés pour l'ensemble de la forêt :

• Maître d'opérations des noms de domaine

• Maître d'opérations du schéma

Trois rôles sont effectués dans chaque domaine :

• Identificateur relatif (RID)

• Infrastructure

• Émulateur PDC

Chacun de ces rôles est détaillé dans les sections suivantes. Quand la forêt ne comprend qu'un seul domaine, cinq maîtres d'opérations sont présents. Une forêt à deux domaines comprend huit maîtres d'opérations car les trois rôles de maîtres de domaine sont implémentés séparément dans chacun des deux domaines.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Rôles de maître d'opérations

Points clés Rôles de maître d'opérations à l'échelle d'une forêt

Le maître de schéma et le maître de nom de domaine doivent être uniques au sein de la forêt. Chaque rôle est exécuté par un seul contrôleur de domaine dans l'ensemble de la forêt.

Rôle de maître d'opérations des noms de domaine

Le rôle des noms de domaine sert à ajouter ou supprimer des domaines dans la forêt. Lorsque vous ajoutez ou supprimer un domaine, le maître de noms de domaine doit être accessible. Si ce n'est pas le cas, l'opération échoue.

Rôle de contrôleur de schéma

Le contrôleur de domaine qui détient le rôle de contrôleur de schéma est chargé d'effectuer toutes les modifications apportées au schéma de la forêt. Tous les autres contrôleurs de domaine détiennent des réplicas du schéma en lecture seule. Pour modifier le schéma ou installer une application qui le modifie, il est conseillé d'effectuer l'opération sur le contrôleur de domaine qui détient le rôle de contrôleur de schéma. En effet, pour être inscrites dans le schéma, les modifications demandées doivent être envoyées au contrôleur de schéma.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Rôles de maître d'opérations à l'échelle d'un domaine

Chaque domaine conserve trois opérations à maître unique : RID, Infrastructure et Émulateur PDC. Chaque rôle est exécuté par un seul et unique contrôleur du domaine.

Rôle de maître RID

Le maître RID joue un rôle essentiel dans la génération des identifiants de sécurité (SID) pour les entités de sécurité comme les utilisateurs, les groupes et les ordinateurs. L'identifiant SID d'une entité de sécurité doit être unique. Tout contrôleur de domaine pouvant créer des comptes, donc des SID, un mécanisme doit garantir que les SID générés par un contrôleur de domaine sont uniques. Les contrôleurs de domaine Active Directory génèrent des SID en affectant un RID unique au SID du domaine. Le maître RID du domaine attribue des pools de RID uniques à chaque contrôleur du domaine. Chacun d'eux sait ainsi avec certitude que les SID qu'il génère sont uniques.

Remarque : le rôle de maître RID correspond au rôle DHCP pour les SID. Si vous connaissez le concept d'attribution d'une étendue d'adresses IP que le serveur DHCP peut affecter aux clients, vous pouvez faire le parallèle avec un maître RID, qui alloue des pools de RID aux contrôleurs de domaine pour la création des SID.

Rôle de maître d'infrastructure

Dans un environnement à plusieurs domaines, un objet fait souvent référence aux objets des autres domaines. Un groupe, par exemple, peut inclure des membres d'un autre domaine. Son attribut de membre à plusieurs valeurs contient les noms uniques de chaque membre. Si le membre de l'autre domaine est déplacé ou renommé, le maître d'infrastructure du domaine du groupe actualise en conséquence l'attribut de membre du groupe.

Remarque : concernant le maître d'infrastructure, vous pouvez le considérer comme un périphérique de suivi des membres de groupes issus d'autres domaines. Lorsque ces membres sont renommés ou déplacés dans l'autre domaine, le maître d'infrastructure s'aperçoit du changement et modifie les appartenances de groupe de façon appropriée afin qu'elles restent à jour.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Rôle d'émulateur PDC

Le rôle d'émulateur PDC joue plusieurs fonctions essentielles pour un domaine :

• Il émule un contrôleur de domaine principal (PDC) pour la compatibilité descendante.

À l'époque des domaines Windows NT® 4.0, seul le PDC pouvait modifier l'annuaire. Les outils, utilitaires et clients précédents, conçus pour prendre en charge Windows NT 4.0, ne savaient pas que tous les contrôleurs de domaine Active Directory pouvaient écrire dans l'annuaire. Ces outils demandaient donc une connexion au PDC. Le contrôleur de domaine qui détient le rôle d'émulateur PDC s'enregistre lui-même en tant que PDC pour que les applications de bas niveau puissent localiser un contrôleur de domaine inscriptible. Active Directory ayant près de 10 ans aujourd'hui, ces applications sont moins courantes et si votre entreprise en utilise, pensez à les mettre à niveau pour assurer une compatibilité Active Directory complète.

• Il participe à la gestion des mises à jour de mot de passe pour le domaine.

Lorsque le mot de passe d'un utilisateur est réinitialisé ou modifié, le contrôleur de domaine qui effectue les modifications les réplique immédiatement dans l'émulateur PDC. Cette réplication particulière permet de s'assurer que les contrôleurs de domaine connaissent le nouveau mot de passe aussi rapidement que possible. Lorsqu'un utilisateur tente d'ouvrir une session immédiatement après avoir modifié son mot de passe, le contrôleur de domaine qui répond à cette demande d'ouverture de session peut ne pas connaître le nouveau mot de passe. Avant de rejeter la tentative de connexion, le contrôleur de domaine transmet la demande d'authentification à un émulateur PDC qui vérifie l'exactitude du nouveau mot de passe et indique au contrôleur de domaine d'accepter la demande. Cette fonction implique que, chaque fois qu'un utilisateur saisit un mot de passe incorrect, l'authentification est transmise à l'émulateur PDC pour obtenir un deuxième avis. L'émulateur PDC doit donc être largement accessible à tous les clients du domaine. Il doit s'agir d'un contrôleur de domaine à hautes performances et bien connecté.

• Il gère les mises à jour de la stratégie de groupe au sein d'un domaine.

La modification quasi simultanée d'un objet de stratégie du groupe (GPO) dans deux contrôleurs de domaine peut entraîner des conflits entre les deux versions, conflits que la réplication du GPO peut ne pas résoudre. Pour éviter cette situation, l'émulateur PDC joue le rôle de point focal pour toutes les modifications de la stratégie de groupe. Lorsque vous ouvrez un objet GPO dans l'Éditeur de gestion des stratégies de groupe (GPME), ce dernier se relie au contrôleur de domaine qui joue le rôle d'émulateur PDC. Par défaut, toutes les modifications apportées aux objets GPO sont donc effectuées au niveau de l'émulateur PDC.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Il fournit une source d'heure de référence au domaine.

Active Directory, Kerberos, le service de réplication de fichiers (FRS) et la réplication DFSR s'appuient tous sur des horodatages. La synchronisation de l'heure dans tous les systèmes d'un domaine est donc cruciale. L'émulateur PDC du domaine racine de la forêt fournit, par défaut, l'horodatage maître de l'ensemble de la forêt. Les émulateurs PDC de chaque domaine synchronisent leur heure avec l'émulateur PDC racine de la forêt. Les autres contrôleurs du domaine synchronisent leurs horloges sur celle de l'émulateur PDC de ce domaine. Tous les autres membres du domaine synchronisent leur horloge avec celle de leur contrôleur de domaine favori. Cette structure hiérarchique de synchronisation de l'heure, implémentée par l'intermédiaire du service Win32Time, garantit la cohérence des horloges. L'horloge en temps universel (UTC) est synchronisée, et le réglage de l'heure affichée aux utilisateurs s'effectue en fonction du paramètre de fuseau horaire de l'ordinateur.

Remarque : ne modifiez le service d'horloge que d'une seule manière. Il est fortement recommandé d'autoriser Windows à conserver ses mécanismes natifs de synchronisation du temps par défaut. La seule modification que vous pouvez effectuer consiste à configurer l'émulateur PDC du domaine racine de la forêt pour qu'il effectue la synchronisation à partir d'une autre source d'heure. Si vous ne définissez pas de source de date et d'heure pour l'émulateur PDC, les erreurs enregistrées par le journal des événements Système vous rappelleront de le faire. Pour plus d'informations, consultez http://go.microsoft.com/fwlink/?LinkId=91969 et les articles cités en référence.

• Il joue le rôle d'explorateur principal de domaine.

Lorsque vous ouvrez le dossier Réseau de Windows, vous obtenez la liste des groupes de travail et des domaines. Lorsque vous ouvrez un groupe de travail ou un domaine, vous obtenez la liste des ordinateurs. Ces deux listes, appelées listes de parcours, sont créées par le service Explorateur. Dans chaque segment réseau, un explorateur maître crée la liste de parcours : les listes des groupes de travail, des domaines et des serveurs de ce segment. L'explorateur maître du domaine fusionne les listes de chaque explorateur maître pour que les clients de parcours puissent récupérer une liste de parcours complète.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Optimisation de l'emplacement des maîtres d'opérations

Points clés Lorsque vous créez le domaine racine de la forêt et son premier contrôleur de domaine, ce dernier joue les cinq rôles de maître d'opérations. Lorsque vous ajoutez des contrôleurs au domaine, vous pouvez confier des rôles de maître d'opérations aux autres contrôleurs de domaine afin d'équilibrer la charge entre ces derniers ou pour optimiser l'emplacement d'une opération à maître unique. En matière d'emplacement des rôles de maître d'opérations, les recommandations sont les suivantes :

• Choisissez le même emplacement pour le maître du schéma et le maître des noms de domaine.

Les rôles de maître du schéma et de maître des noms de domaine doivent être placés dans un même contrôleur de domaine, également serveur de Catalogue global (GC). Ces rôles ne sont que rarement utilisés et le contrôleur de domaine qui les hébergent doit être fortement sécurisé. Le maître des noms de domaine doit être hébergé par un serveur de catalogue global car, lors de l'ajout d'un nouveau domaine, il doit pouvoir vérifier qu'aucun objet ne porte le même nom que le nouveau domaine, quel que soit le type d'objet. La réplique partielle du catalogue global contient le nom de chacun des objets de la forêt. La charge liée à ces rôles de maître d'opérations reste très légère, sauf lorsque des modifications sont apportées au schéma.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Choisissez le même emplacement pour les rôles de maître RID et d'émulateur PDC.

Placez les rôles de maître RID et d'émulateur PDC dans un même contrôleur de domaine. Si la charge implique de placer ces rôles dans deux contrôleurs de domaine distincts, les deux systèmes doivent être physiquement bien connectés et disposer d'objets de connexion explicites créés dans Active Directory de manière à être des partenaires de réplication directs. Ils doivent également être des partenaires de réplication directs pour les contrôleurs de domaine sélectionnés comme maîtres d'opérations de secours.

• Placez le maître d'infrastructure dans un contrôleur de domaine qui ne soit pas un serveur de catalogue global.

Le maître d'infrastructure doit être placé dans un contrôleur de domaine qui ne joue pas le rôle de serveur de catalogue global mais qui soit physiquement bien connecté à un tel serveur. Le maître d'infrastructure doit disposer, dans Active Directory, d'objets explicites de connexion à ce serveur de catalogue global pour qu'ils puissent être des partenaires de réplication directs. Le maître d'infrastructure peut être placé dans le contrôleur de domaine jouant également le rôle de maître RID et d'émulateur PDC.

Remarque : le fait qu'ils soient tous des serveurs de catalogue global ou non n'a pas d'importance. Lorsque tous les contrôleurs d'un domaine sont également serveur de catalogue global, ce que recommandait le Module 12 « Configuration des sites et de la réplication Active Directory », savoir quel contrôleur de domaine joue le rôle de maître d'infrastructure importe peu. Dans un tel cas, tous les contrôleurs de domaine disposent d'informations à jour sur chaque objet de la forêt et le rôle de maître d'infrastructure n'est donc plus nécessaire.

• Disposez d'un plan de basculement.

Au cours des sections suivantes, vous allez apprendre à transférer des rôles de maître d'opérations uniques entre des contrôleurs de domaine, opération nécessaire en cas de longues périodes d'inactivité, planifiées ou non. Établissez à l'avance un plan de transfert des rôles d'opérations à d'autres contrôleurs de domaine en cas de déconnexion d'un maître d'opérations.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Identification des maîtres d'opérations

Points clés Pour implémenter votre plan de placement des rôles, vous devez savoir quels contrôleurs de domaine exécutent actuellement des rôles d'opérations à maître unique. Chaque rôle est présenté dans un outil d'administration Active Directory, de même que dans d'autres outils d'interface utilisateur et de ligne de commande.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour identifier le maître actuel de chaque rôle, servez-vous des outils suivants :

• Émulateur PDC : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations. Ouvrez l'onglet CDP. La page suivante présente un exemple qui indique que SERVER01.contoso.com est actuellement le maître d'opérations CDP.

• Maître RID : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations. Ouvrez l'onglet RID.

• Maître d'infrastructure : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations. Ouvrez l'onglet Infrastructure.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Maître d'opérations des noms de domaine : composant logiciel enfichable Domaines et approbations Active Directory

Cliquez du bouton droit sur le nœud racine du composant logiciel enfichable (Domaines et approbations Active Directory) et choisissez Maître d'opérations.

• Contrôleur de schéma : composant logiciel enfichable Schéma Active Directory

Cliquez du bouton droit sur le nœud racine du composant logiciel enfichable (Schéma Active Directory) et choisissez Maître d'opérations.

Remarque : concernant l'enregistrement du composant logiciel enfichable Schéma Active Directory, vous devez l'inscrire avant de pouvoir créer une console MMC (Microsoft Management Console) personnalisée avec le composant logiciel enfichable. À l'invite de commande, tapez regsvr32 schmmgmt.dll.

D'autres outils permettent également d'identifier les maîtres d'opération, dont les commandes suivantes :

• NTDSUtil

ntdsutil roles connections connect to server DomainControllerFQDN:portnumber quit select operation target list roles for connected server quit quit quit

• dcdiag /test:knowsofroleholders /v

• netdom query fsmo

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Transfert des rôles de maître d'opérations

Points clés Vous pouvez facilement transférer un rôle de maître d'opérations. Cette opération est nécessaire dans les cas suivants :

• Lorsque vous créez votre forêt, les cinq rôles sont exécutés par le premier contrôleur de domaine que vous installez. Lorsque vous ajoutez un domaine à la forêt, les trois rôles de domaine sont exécutés par le premier contrôleur de ce domaine. Lorsque vous ajoutez d'autres contrôleurs de domaine, vous pouvez répartir les rôles afin de réduire les risques de point unique de défaillance et d'améliorer les performances.

• Si vous envisagez la mise hors connexion d'un contrôleur de domaine hébergeant actuellement un rôle de maître d'opérations, transférez ce rôle à un autre contrôleur de domaine avant la mise hors connexion.

• Si vous désaffectez un contrôleur de domaine hébergeant actuellement un rôle de maître d'opérations, transférez ce rôle à un autre contrôleur de domaine avant la désaffectation. L'Assistant Installation des services de domaine Active Directory tentera d'effectuer cette opération automatiquement, mais vous devez être prêt à rétrograder un contrôleur de domaine en transférant ses rôles.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour transférer un rôle de maître d'opérations, procédez comme suit :

1. Il est recommandé de vérifier que la réplication du nouveau détenteur du rôle a bien été effectuée à partir de l'ancien détenteur du rôle avant de transférer le rôle. Vous pouvez utiliser les techniques décrites au Module 12 pour imposer une réplication entre les deux systèmes.

2. Ouvrez l'outil d'administration qui expose le maître actuel.

Par exemple, ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour transférer l'un des trois rôles de maître du domaine.

3. Connectez-vous au contrôleur de domaine auquel vous transférez le rôle.

Pour ce faire, cliquez du bouton droit sur le nœud racine du composant logiciel enfichable et choisissez Modifier le contrôleur de domaine ou Changer de contrôleur de domaine Active Directory. (La commande diffère selon les composants logiciels enfichables.)

4. Ouvrez la boîte de dialogue Maître d'opérations. Celle-ci présente le contrôleur de domaine détenant actuellement le jeton de rôle de l'opération. Cliquez sur le bouton Modifier pour transférer le rôle au contrôleur de domaine auquel vous êtes connecté.

Lorsque vous transférez un rôle de maître d'opérations, le maître actuel et le nouveau maître sont en ligne. Le jeton est transféré et le nouveau maître commence immédiatement à jouer son rôle, ce que l'ancien maître cesse aussitôt de faire. Il s'agit là de la meilleure méthode pour déplacer des rôles de maître d'opérations.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Captage des rôles de maître d'opérations

Points clés Identification des défaillances d'un maître d'opérations

Plusieurs rôles de maître d'opérations peuvent être indisponibles pendant quelque temps avant que leur absence ne devienne un problème. D'autres jouent un rôle essentiel pour le fonctionnement quotidien de votre entreprise. Pour identifier les problèmes liés aux maîtres d'opérations, examinez le journal des événements du Service d'annuaire.

Le plus souvent toutefois, vous ne découvrirez la défaillance d'un maître d'opérations qu'au moment d'utiliser une fonction qu'il gère, et cette fonction échoue. Par exemple, en cas de défaillance du maître RID, vous ne parviendrez pas à créer de nouvelles entités de sécurité.

Réponse à la défaillance d'un maître d'opération

En cas de défaillance d'un contrôleur de domaine exécutant une opération à maître unique, si vous n'arrivez pas à remettre le système en service, vous avez la possibilité de capter le jeton des opérations. Lorsque vous captez un rôle, vous désignez un nouveau maître sans supprimer correctement le rôle du maître défaillant.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Le captage d'un rôle étant une mesure draconienne, assurez-vous que cette action soit véritablement nécessaire. Identifiez la cause et la durée prévue de la déconnexion du maître d'opérations. Si ce dernier peut être ramené en ligne dans un délai raisonnable, patientez. Comment définir ce délai raisonnable ? Il dépend en fait de l'impact du rôle défaillant.

Défaillance de l'Émulateur PDC

L'émulateur PDC est le maître d'opérations dont l'impact sur les opérations habituelles et les utilisateurs est le plus immédiat lorsqu'il n'est plus disponible. Par chance, le rôle d'Émulateur PDC peut être capté par un autre contrôleur de domaine, puis retransmis à son détenteur original lorsque le système revient en ligne.

Défaillance du maître d'infrastructure

Une défaillance du maître d'infrastructure sera détectée par les administrateurs, mais pas par les utilisateurs. Le maître d'infrastructure étant chargé de mettre à jour les noms des membres de groupes appartenant à d'autres domaines, il peut donner l'impression que l'appartenance aux groupes est incorrecte. Cependant, comme nous l'avons mentionné précédemment dans cette leçon, cette appartenance n'est pas réellement affectée. Vous pouvez capter le rôle de maître d'infrastructure et le confier à un autre contrôleur de domaine, puis le retransmettre à son détenteur précédent lorsque le système revient en ligne.

Défaillance du maître RID

Un maître RID défaillant finit par empêcher les contrôleurs de domaine de créer de nouveaux SID et, par conséquent, vous empêche de créer de nouveaux comptes pour les utilisateurs, les groupes ou les ordinateurs. Le maître RID fournissant toutefois un pool de RID d'une certaine taille aux contrôleurs de domaine, il est généralement possible de rester un certain temps sans maître RID, par exemple jusqu'à ce qu'il soit réparé, sauf si vous générez de nombreux nouveaux comptes. Le captage de ce rôle par un autre contrôleur de domaine est une mesure importante. Après le captage du rôle de maître RID, le contrôleur de domaine qui tenait ce rôle ne peut pas être ramené en ligne.

Défaillance du contrôleur de schéma

Le rôle de contrôleur de schéma n'est nécessaire que lorsque des modifications sont apportées au schéma, directement par un administrateur ou lors de l'installation d'une application intégrée à Active Directory qui modifie le schéma. Le reste du temps, ce rôle est inutile. Il peut rester hors connexion indéfiniment, jusqu'à ce que des modifications du schéma deviennent nécessaires. Le captage de ce rôle par un autre contrôleur de domaine est une mesure importante. Après le captage du rôle de contrôleur de schéma, le contrôleur de domaine qui tenait ce rôle ne peut pas être ramené en ligne.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Défaillance du maître des noms de domaine

Le rôle de maître des noms de domaine est uniquement nécessaire lorsque vous ajoutez un domaine à la forêt ou lorsque vous supprimez un domaine dans une forêt. Jusqu'à ce que de telles modifications soient requises pour l'infrastructure de votre domaine, le rôle de maître des noms de domaine peut demeurer hors connexion pendant une période indéfinie. Le captage de ce rôle par un autre contrôleur de domaine est une mesure importante. Après le captage du rôle de maître des noms de domaine, le contrôleur de domaine qui tenait ce rôle ne peut pas être ramené en ligne.

Captage d'un rôle de maître d'opérations

Bien qu'il soit possible de transférer des rôles à l'aide des outils d'administration, vous devez utiliser la commande Ntdsutil.exe pour capter un rôle. Pour capter un rôle de maître d'opérations, procédez comme suit :

1. À l'invite de commande, tapez ntdsutil, puis appuyez sur ENTRÉE.

2. À l'invite de commande ntdsutil, tapez roles et appuyez sur ENTRÉE.

Les étapes suivantes établissent une connexion au contrôleur de domaine auquel vous souhaitez confier le rôle d'opération à maître unique.

3. À l'invite Maintenance Fsmo, tapez connections et appuyez sur ENTRÉE.

4. À l'invite de connexion au serveur, tapez connect to server NomCompletContrôleurDomaine et appuyez sur ENTRÉE.

NomCompletContrôleurDomaine est le nom de domaine complet du contrôleur de domaine auquel vous souhaitez confier le rôle.

Ntdsutil répond que la connexion au serveur a été établie.

5. À l'invite de connexion au serveur, tapez quit et appuyez sur ENTRÉE.

6. À l'invite Maintenance Fsmo, tapez seize rôle et appuyez sur ENTRÉE.

Rôle correspond à l'un des éléments suivants :

• Contrôleur de schéma

• Maître des noms de domaine

• Maître RID

• Contrôleur de domaine principal (PDC)

• Maître d'infrastructure

7. À l'invite Maintenance Fsmo, tapez quit et appuyez sur ENTRÉE.

8. À l'invite de commande ntdsutil, tapez quit et appuyez sur ENTRÉE.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Restitution d'un rôle à son détenteur d'origine

Pour qu'il soit possible de planifier une période de temps d'arrêt pour un contrôleur de domaine lorsqu'un rôle a été transféré, mais pas capté, ce rôle peut être restitué à son contrôleur de domaine d'origine.

Toutefois, lorsque le rôle a été capté et que le maître précédent peut être ramené en ligne, soyez extrêmement prudent. L'émulateur PDC et le maître d'infrastructure sont les seuls rôles de maître d'opérations qui peuvent être restitués au maître d'origine après avoir été captés.

Remarque : ne remettez jamais en service un contrôleur de schéma, un maître de noms de domaine ou un maître RID qui a été capté. Lorsque ces rôles ont été captés, vous devez désaffecter entièrement le contrôleur de domaine d'origine.

Si vous avez capté les rôles de contrôleur de schéma, de maître de noms de domaine ou de maître RID pour les confier à un autre contrôleur de domaine, ne remettez pas en ligne le contrôleur de domaine d'origine sans l'avoir auparavant entièrement désaffecter. Cela signifie que le détenteur du rôle d'origine doit être physiquement déconnecté du réseau et que vous devez supprimer AD DS avec la commande dcpromo /forceremoval. Vous devez également nettoyer les métadonnées de ce contrôleur de domaine selon les instructions fournies à l'adresse http://go.microsoft.com/fwlink/?LinkId=80481.

Lorsque le contrôleur de domaine a été entièrement supprimé d'Active Directory, vous pouvez le reconnecter au réseau et y joindre un domaine si vous le souhaitez. Si vous voulez en faire un contrôleur de domaine, vous pouvez le promouvoir. Si vous souhaitez qu'il reprenne le rôle de maître d'opérations, vous pouvez lui reconfier ce rôle.

Remarque : il est préférable de tout reconstruire. Du fait de la nature sensible des contrôleurs de domaine, il est préférable dans ce cas de réinstaller entièrement l'ancien contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique C : Transfert des rôles de maître d'opérations

Scénario Vous êtes administrateur de domaine chez Contoso, Ltd. L'alimentation redondante de l'ordinateur HQDC01 est défaillante et vous devez mettre le serveur hors connexion pour assurer sa maintenance. Vous préférez vous assurer que les opérations AD DS ne soient pas interrompues pendant la mise hors connexion du serveur.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Identification des maîtres d'opérations Dans cet exercice, vous allez vous servir de l'interface utilisateur et des outils de ligne de commande pour identifier les maîtres d'opérations du domaine contoso.com.



2. Identifier des maîtres d'opérations à l'aide des composants logiciels enfichables administratifs d'Active Directory.

3. Identifier des maîtres d'opérations à l'aide de la commande NetDom.

Tâche 1 : Préparation de l'atelier pratique • Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur


• Ouvrez D:\Labfiles\Lab11c.

• Exécutez Lab11c_Setup.bat avec des droits administratifs. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.

• Fermez la fenêtre de l'Explorateur Windows, Lab11c.

• Démarrez 6238B-HQDC02-B sans ouvrir de session.

Tâche 2 : Identification des maîtres d'opérations à l'aide des composants logiciels enfichables administratifs d'Active Directory • Exécutez Utilisateurs et ordinateurs Active Directory en tant

qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Utilisez Utilisateurs et ordinateurs Active Directory pour identifier les détenteurs des jetons de rôle de maître d'opérations RID, PDC et Infrastructure. Quel contrôleur de domaine détient ces rôles ?

• Fermez Utilisateurs et ordinateurs Active Directory.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Exécutez Domaines et approbations Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Utilisez Domaines et approbations Active Directory pour identifier les détenteurs des jetons de rôle de maître d'opérations des noms de domaine. Quel contrôleur de domaine détient ce rôle ?

• Fermez Domaines et approbations Active Directory.

• Exécutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Tapez regsvr32 schmmgmt.dll et appuyez sur ENTRÉE.

• Exécutez la commande mmc.exe en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Ajoutez le composant logiciel enfichable Schéma Active Directory dans la console.

• Utilisez Schéma Active Directory pour identifier les détenteurs des jetons de rôle de maître d'opérations contrôleur de schéma. Quel contrôleur de domaine détient ce rôle ?

• Fermez la console. Il n'est pas nécessaire d'enregistrer les modifications.

Tâche 3 : Identification des maîtres d'opérations à l'aide de la commande NetDom • Exécutez l'invite de commande en tant qu'administrateur avec le nom


• Tapez la commande netdom query fsmo et appuyez sur ENTRÉE.

Résultats : Au terme de cet exercice, vous aurez utilisé les composants logiciels enfichables administratifs et la commande NetDom pour identifier les maîtres d'opérations.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Transfert des rôles de maître d'opérations Dans cet exercice, vous allez préparer la mise hors connexion d'un maître d'opérations en transférant ses rôles à un autre contrôleur de domaine. Vous simulerez ensuite la mise hors connexion, la remise en ligne et la restitution du rôle de maître d'opérations.


1. Transférer le rôle PDC avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

2. Examiner les autres rôles avant la mise hors connexion d'un contrôleur de domaine.

3. Transférer le rôle PDC avec la commande NTDSUtil.

Tâche 1 : Transfert du rôle PDC avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory • Exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur,

avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Connectez-vous à HQDC02.

Avant de transférer un maître d'opérations, vous devez vous connecter au contrôleur de domaine auquel vous souhaitez confier ce rôle.

Le nœud racine du composant logiciel enfichable présente le contrôleur de domaine auquel vous êtes connecté : Utilisateurs et ordinateurs Active Directory [hqdc02.contoso.com].

• Transférez le rôle de maître d'opérations PDC à l'ordinateur HQDC02.

Tâche 2 : Examen des autres rôles avant la mise hors connexion d'un contrôleur de domaine Vous êtes prêt à mettre l'ordinateur HQDC01 hors connexion. Vous venez de transférer le rôle de maître d'opérations PDC à l'ordinateur HQDC02.

• Dressez la liste des autres rôles de maîtres d'opérations qu'il est nécessaire de transférer avant de mettre HQDC01 hors connexion.

• Dressez la liste des autres rôles de serveur qu'il est nécessaire de transférer avant de mettre HQDC01 hors connexion.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Transfert du rôle PDC avec la commande NTDSUtil La maintenance de l'ordinateur HQDC01 est à présent terminée. Vous le remettez donc en ligne.

N'oubliez pas que vous ne pouvez pas ramener un contrôleur de domaine en ligne si les rôles de maître RID, de contrôleur de schéma ou de maître des noms de domaine ont été captés. Vous pouvez cependant le remettre en ligne si le rôle a été transféré.

• Exécutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Utilisez NTDSUtil pour vous connecter à HQDC01 et lui restituer le rôle PDC.

Résultats : Au terme de cet exercice, vous aurez transféré le rôle PDC à l'ordinateur HQDC02 via le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis restitué ce rôle à l'ordinateur HQDC01 via la commande NTDSUtil.

Remarque : vous pouvez arrêter ces ordinateurs virtuels lorsque vous avez terminé car leur redémarrage est nécessaire pour l'atelier suivant.


Question : Si vous transférez tous les rôles avant de mettre un contrôleur de domaine hors connexion, est-il possible de le remettre en ligne ?

Question : Si un contrôleur de domaine est défaillant et que vous captez ses rôles pour les confier à un autre contrôleur de domaine, est-il possible de remettre le contrôleur de domaine défaillant en ligne ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 4 Configuration de la réplication DFSR du dossier SYSVOL

Le dossier SYSVOL, situé par défaut dans %SystemRoot%\SYSVOL, contient les scripts de connexion, les modèles de stratégie de groupe (GPT) et d'autres ressources essentielles pour le bon fonctionnement et la gestion d'un domaine Active Directory. Dans l'idéal, le dossier SYSVOL doit être identique dans chaque contrôleur de domaine. Toutefois, des modifications étant parfois apportées aux objets de stratégie de groupe et aux scripts de connexion, vous devez vérifier que ces modifications soient bien répliquées dans tous les contrôleurs de domaine. Dans les versions précédentes de Windows, les services FRS permettaient de répliquer le contenu du dossier SYSVOL entre des contrôleurs de domaine. Les limites des services FRS, en termes de capacités et de performances, entraînent parfois leur blocage. Malheureusement, la résolution des problèmes et la configuration des services FRS sont assez difficiles. Dans les domaines Windows Server 2008, vous avez la possibilité d'utiliser la réplication DFSR pour répliquer le contenu du dossier SYSVOL. Dans cette leçon, vous allez apprendre à effectuer la migration du dossier SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR).

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• augmenter le niveau fonctionnel du domaine ;

• migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR).

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Augmentation du niveau fonctionnel du domaine

Points clés Le Module 1, « Présentation des services de domaine Active Directory », introduisait le concept de niveaux fonctionnels des domaines et des forêts. Le Module 14, « Gestion de plusieurs domaines et forêts », vous permettra d'étudier en détail ces niveaux fonctionnels des domaines et des forêts. Le niveau fonctionnel d'un domaine est un paramètre qui limite les systèmes d'exploitation pris en charge en tant que contrôleurs d'un domaine et active des fonctionnalités supplémentaires d'Active Directory. Le niveau fonctionnel d'un domaine doté d'un contrôleur de domaine Windows Server 2008 peut être l'un des trois suivants : Windows 2000 Natif, Windows Server 2003 Natif et Windows Server 2008. Au niveau fonctionnel de domaine natif Windows 2000, les contrôleurs de domaine peuvent exécuter Windows 2000 Server ou Windows Server 2003. Au niveau fonctionnel de domaine natif Windows Server 2003, les contrôleurs de domaine peuvent exécuter Windows Server 2003. Au niveau fonctionnel de domaine Windows Server 2008, tous les contrôleurs de domaine doivent exécuter Windows Server 2008.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsque vous augmentez les niveaux fonctionnels, de nouvelles capacités d'Active Directory sont activées. Au niveau fonctionnel de domaine Windows Server 2008, par exemple, vous pouvez utiliser la réplication DFSR pour répliquer le contenu du dossier SYSVOL. La simple mise à niveau de tous les contrôleurs de domaine vers Windows Server 2008 ne suffit pas : vous devez augmenter le niveau fonctionnel du domaine en utilisant pour ce faire Domaines et approbations Active Directory.

Pour augmenter le niveau fonctionnel d'un domaine :

1. Exécutez le composant logiciel enfichable Domaines et approbations Active Directory.

2. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine.

3. Sélectionnez le niveau fonctionnel Windows Server 2008, puis cliquez sur Augmenter.

Une fois le niveau fonctionnel du domaine défini sur Windows Server 2008, vous ne pouvez pas y ajouter de contrôleurs de domaine fonctionnant sous Windows Server 2003 ou Windows 2000 Server. Le niveau fonctionnel est associé uniquement aux systèmes d'exploitation des contrôleurs de domaine. Les serveurs et les stations de travail membres peuvent exécuter Windows Server 2003, Windows 2000 Server, Windows Vista®, Windows XP ou Windows 2000.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement des phases de la migration

Points clés Le dossier SYSVOL étant indispensable pour le bon fonctionnement de votre domaine, Windows ne propose pas de mécanisme permettant de passer instantanément du Service FRS à la Réplication DFSR du dossier SYSVOL. En réalité, la migration vers une réplication DFSR implique la création d'une structure SYSVOL parallèle. Lorsque cette structure parallèle a bien été mise en place, les clients sont redirigés vers la nouvelle structure en tant que volume système du domaine. Lorsque l'opération a bien été effectuée et que son fonctionnement a été vérifié, vous pouvez éliminer le service FRS.

La migration vers la réplication DFSR comprend quatre phases ou états :

• 0 (début) : état par défaut d'un contrôleur de domaine. Seul le service FRS est utilisé pour répliquer le dossier SYSVOL.

• 1 (préparé) : une copie du dossier SYSVOL est créée dans un dossier nommé SYSVOL_DFSR et ajoutée à un jeu de réplication. Le service DFSR commence à répliquer le contenu des dossiers SYSVOL_DFSR dans tous les contrôleurs de domaine. Le service FRS poursuit cependant la réplication des dossiers SYSVOL d'origine et les clients continuent à utiliser le dossier SYSVOL.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• 2 (redirigé) : le partage SYSVOL, qui fait initialement référence au dossier SYSVOL\domain\sysvol, est modifié de manière à référencer le dossier SYSVOL_DFSR\domain\sysvol. Les clients utilisent à présent le dossier SYSVOL_DFSR pour récupérer les scripts de connexion et les modèles de stratégie de groupe.

• 3 (éliminé) : la réplication de l'ancien dossier SYSVOL par le service FRS est interrompue. Le dossier SYSVOL d'origine n'est cependant pas supprimé. Si vous souhaitez le supprimer dans son intégralité, vous devez le faire manuellement.

Pour faire passer vos contrôleurs de domaine à travers ces phases, utilisez la commande DFSMig. Trois options sont disponibles avec la commande dfsrmig.exe :

• setglobalstate état

L'option setglobalstate configure l'état actuel de la migration du service de réplication DFSR global, qui s'applique à tous les contrôleurs de domaine. L'état est défini par le paramètre état, compris entre 0 et 3. Le nouvel état de la migration de réplication DFSR est signalé à chaque contrôleur de domaine qui migre automatiquement vers cet état.

• getglobalstate

L'option getglobalstate indique l'état actuel de la migration DFSR globale.

• getmigrationstate

L'option getmigrationstate indique l'état de migration actuel de chaque contrôleur de domaine. Le signalement du nouvel état de migration DFSR global aux contrôleurs de domaine pouvant prendre un certain temps, et la réalisation des modifications requises par cet état par un contrôleur de domaine pouvant être encore plus longue, les contrôleurs de domaine ne sont pas instantanément synchronisés avec l'état global. L'option getmigrationstate vous permet de contrôler la progression des contrôleurs de domaine par rapport à l'état actuel de la migration DFSR globale.

En cas de problème lors du passage d'un état au suivant, vous pouvez rétablir les états précédents avec l'option setglobalstate. Toutefois, une fois que vous avez utilisé l'option setglobalstate pour définir l'état 3 (éliminé), vous ne pouvez plus rétablir les états antérieurs.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Migration vers la réplication DFSR du dossier SYSVOL

Points clés Pour faire migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR), procédez comme suit :

1. Ouvrez le composant logiciel enfichable Domaines et approbations Active Directory.

2. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine.

3. Si le champ Niveau fonctionnel du domaine actuel n'indique pas Windows Server 2008, choisissez Windows Server 2008 dans la liste Sélectionner un niveau fonctionnel du domaine disponible.

4. Cliquez sur Augmenter. Cliquez à deux reprises sur OK dans les boîtes de dialogue qui s'affichent.

5. Ouvrez une session sur un contrôleur de domaine et ouvrez une invite de commande.

6. Tapez dfsrmig /setglobalstate 1.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


7. Tapez dfsrmig /getmigrationstate pour connaître la progression des contrôleurs de domaine vis-à-vis de l'état global Préparé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état.

Cette opération peut prendre 15 minutes à une heure, voire davantage.


9. Tapez dfsrmig /getmigrationstate pour connaître la progression des contrôleurs de domaine vis-à-vis de l'état global Redirigé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état.



Une fois que vous avez commencé la migration de l'état 2 (préparé) vers l'état 3 (répliqué), toutes les modifications apportées au dossier SYSVOL devront être répliquées manuellement dans le dossier SYSVOL_DFSR.

11. Tapez dfsrmig /getmigrationstate pour connaître la progression des contrôleurs de domaine vis-à-vis de l'état global Éliminé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état.


12. Pour plus d'informations sur la commande dfsrmig.exe, tapez dfsrmig.exe /?.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL

Scénario Vous êtes administrateur chez Contoso. Vous avez récemment procédé à la mise à niveau du dernier contrôleur de domaine Windows Server 2003 vers Windows Server 2008 et vous souhaitez à présent profiter de la réplication améliorée du dossier SYSVOL grâce à la réplication DFSR.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Observation de la réplication du dossier SYSVOL Dans cet exercice, vous allez observer la réplication du dossier SYSVOL par le service de réplication de fichiers (FRS) en ajoutant un script de connexion au partage NETLOGON et en observant sa réplication vers un autre contrôleur de domaine.



2. Observer la réplication du dossier SYSVOL.

Tâche 1 : Préparation de l'atelier pratique • Arrêtez tous les ordinateurs virtuels.

• Démarrez 6238B-HQDC01-B et ouvrez une session avec le compte Pat.Coleman et le mot de passe Pa$$w0rd.

• Ouvrez D:\Labfiles\Lab11d.

• Exécutez Lab11d_Setup.bat avec des droits administratifs. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.

• Fermez la fenêtre de l'Explorateur Windows, Lab11d.

• Démarrez 6238B-HQDC02-B et ouvrez une session avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Tâche 2 : Observation de la réplication du dossier SYSVOL • Dans HQDC01, ouvrez %SystemRoot%\

Sysvol\sysvol\contoso.com\Scripts.

• Exécutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Enregistrez un fichier test sous le nom %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts\TestFRS.txt.

• Dans HQDC02, ouvrez %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts \Scripts.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Vérifiez que le fichier TestFRS.txt a bien été répliqué dans le dossier Scripts de l'ordinateur HQDC02.

Si le fichier n'apparaît pas immédiatement, patientez quelques instants. La réplication peut prendre jusqu'à 15 minutes. Vous pouvez éventuellement passer à l'Exercice 2. Avant de passer à l'Exercice 3, vérifiez toutefois que le fichier a bien été répliqué.

• Après avoir observé la réplication, fermez la fenêtre de l'Explorateur Windows contenant le dossier Scripts des ordinateurs HQDC01 et HQDC02.

Résultats : Au terme de cet exercice, vous aurez observé la réplication d'un fichier test entre les dossiers SYSVOL\Scripts de deux contrôleurs de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Préparation de la migration vers la réplication DFSR Pour que la migration vers la réplication DFSR du dossier SYSVOL soit possible, le domaine ne doit contenir que des contrôleurs de domaine Windows Server 2008 et son niveau fonctionnel doit être élevé jusqu'à Windows Server 2008. Dans cet exercice, vous allez vérifié que les autres niveaux fonctionnels du domaine ne prennent pas en charge la migration DFSR. Vous élèverez ensuite le domaine au niveau fonctionnel Windows Server 2008.


1. Confirmer le niveau fonctionnel actuel inférieur à Windows Server 2008 pour le domaine.

2. Confirmer l'indisponibilité de la réplication DFSR pour les niveaux fonctionnels de domaine inférieurs à Windows Server 2008.

3. Augmenter le niveau fonctionnel du domaine.

4. Confirmer la disponibilité de la réplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine.

Tâche 1 : Confirmation du niveau fonctionnel actuel inférieur à Windows Server 2008 pour le domaine • Dans HQDC01, exécutez Utilisateurs et ordinateurs Active Directory en tant


• Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows Server 2003, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte de dialogue.

Tâche 2 : Confirmation de l'indisponibilité de la réplication DFSR pour les niveaux fonctionnels de domaine inférieurs à Windows Server 2008 • Exécutez l'invite de commande en tant qu'administrateur avec le nom


• Tapez dfsrmig /getglobalstate et appuyez sur ENTRÉE. Le message qui s'affiche vous signale que la commande dfsrmig n'est prise en charge que par les domaines de niveau fonctionnel Windows Server 2008.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Augmentation du niveau fonctionnel du domaine • Dans Utilisateurs et ordinateurs Active Directory, élevez le domaine vers le

niveau fonctionnel Windows Server 2008.

• Fermez Utilisateurs et ordinateurs Active Directory.

Tâche 4 : Confirmation de la disponibilité de la réplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine • Revenez à l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyez

sur ENTRÉE. Le message qui s'affiche vous signale que la migration DFSR n'a pas encore été déclenchée.

Résultats : Au terme de cet exercice, vous aurez élevé le niveau fonctionnel du domaine à Windows Server 2008 et confirmé que, ce faisant, vous avez rendu possible la migration du dossier SYSVOL vers la réplication DFSR.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Migration de la réplication du dossier SYSVOL vers DFSR Dans cet exercice, vous allez faire migrer le mécanisme de réplication de FRS vers DFSR.

La tâche principale de cet exercice est la suivante :

1. Migrer de la réplication du dossier SYSVOL vers DFSR.

Tâche 1 : Migration de la réplication du dossier SYSVOL vers DFSR 1. Revenez à l'invite de commande.

2. Tapez dfsrmig /setglobalstate 0 et appuyez sur ENTRÉE.

Le message suivant s'affiche :

Current DFSR global state: 'Start' New DFSR global state: 'Start' Invalid state change requested.

L'état global par défaut étant déjà 0, ‘Start', votre commande n'est donc pas valide. Toutefois, cela permet de déclencher la migration DFSR.

3. Tapez dfsrmig /getglobalstate et appuyez sur ENTRÉE.


Current DFSR global state: 'Start' Succeeded.

4. Tapez dfsrmig /getmigrationstate et appuyez sur ENTRÉE.


All Domain Controllers have migrated successfully to Global state ('Start'). Migration has reached a consistent state on all Domain Controllers. Succeeded.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT




Current DFSR global state: 'Start' New DFSR global state: 'Prepared' Migration will proceed to 'Prepared' state. DFSR service will copy the contents of SYSVOL to SYSVOL_DFSR folder. If any DC is unable to start migration then try manual polling. OR Run with option /CreateGlobalObjects. Migration can start anytime between 15 min to 1 hour. Succeeded.


Le message qui s'affiche reflète l'état de migration actuel de chaque contrôleur de domaine. La migration peut durer jusqu'à 15 minutes.

7. Répétez cette étape jusqu'à ce que le message suivant vous signale que la migration a atteint l'état 'Préparé' et a réussi :

All Domain Controllers have migrated successfully to Global state ('Prepared'). Migration has reached a consistent state on all Domain Controllers. Succeeded.

Lorsque vous recevez le message ci-dessus, passez à l'étape suivante.

Pendant la migration vers l'état 'Préparé', l'un des messages suivants peut s'afficher :

The following Domain Controllers are not in sync with Global state ('Prepared'): Domain Controller (Local Migration State) - DC Type =================================================== HQDC01 ('Start') - Primary DC HQDC02 ('Start') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


ou

The following Domain Controllers are not in sync with Global state ('Prepared'): Domain Controller (Local Migration State) - DC Type =================================================== HQDC01 ('Start') - Primary DC HQDC02 ('Waiting For Initial Sync') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.

ou

The following Domain Controllers are not in sync with Global state ('Prepared'): Domain Controller (Local Migration State) - DC Type =================================================== HQDC02 ('Waiting For Initial Sync') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.

8. Cliquez sur Démarrer, pointez sur Outils d'administration, cliquez du bouton droit sur Observateur d'événements, et choisissez Exécuter en tant qu'administrateur.

9. Cliquez sur Utiliser un autre compte.

10. Dans la zone Nom d'utilisateur, tapez Pat.Coleman_Admin.

11. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée.

L'Observateur d'événements apparaît.

12. Dans l'arborescence de la console, développez Journaux des applications et des services et sélectionnez Réplication DFSR.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


13. Localisez l'événement associé à l'ID 8014 et ouvrez ses propriétés.

Vous devriez obtenir les informations illustrées dans la capture d'écran suivante.

14. Fermez l'Observateur d'événements.


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT




Current DFSR global state: 'Prepared' New DFSR global state: 'Redirected' Migration will proceed to 'Redirected' state. The SYSVOL share will be changed to SYSVOL_DFSR folder. If any changes have been made to the SYSVOL share during the state transition from 'Prepared' to 'Redirected', please robocopy the changes from SYSVOL to SYSVOL_DFSR on any replicated RWDC. Succeeded.


Le message qui s'affiche reflète l'état de migration actuel de chaque contrôleur de domaine. La migration peut durer jusqu'à 15 minutes.

18. Répétez l'étape 17 jusqu'à ce que le message suivant vous signale que la migration a atteint l'état 'Préparé' et a réussi :

All Domain Controllers have migrated successfully to Global state ('Redirected'). Migration has reached a consistent state on all Domain Controllers. Succeeded.

Lorsque vous recevez le message ci-dessus, passez à la tâche suivante.

Pendant la migration, les messages suivants peuvent s'afficher :

The following Domain Controllers are not in sync with Global state ('Redirected'): Domain Controller (Local Migration State) - DC Type =================================================== HQDC02 ('Prepared') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Résultats : Au terme de cet exercice, vous aurez fait migrer la réplication du dossier SYSVOL vers DFSR dans le domaine contoso.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 4 : Vérification de la réplication DFSR du dossier SYSVOL Dans cet exercice, vous allez vérifier que le dossier SYSVOL a bien été répliqué par le service DFSR.


1. Confirmer le nouvel emplacement du dossier SYSVOL.

2. Observer la réplication du dossier SYSVOL.

Tâche 1 : Confirmation du nouvel emplacement du dossier SYSVOL • À l'invite de commande, tapez net share et appuyez sur ENTRÉE. Vérifiez que

le partage NETLOGON fait référence au dossier %SystemRoot% \SYSVOL_DFSR\Sysvol\contoso.com\Scripts et que le partage SYSVOL fait référence au dossier %SystemRoot%\SYSVOL_DFSR\Sysvol.

Tâche 2 : Observation de la réplication du dossier SYSVOL • Dans HQDC01, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol

\contoso.com\Scripts.

Remarquez que le fichier TestFRS.txt créé précédemment apparaît déjà dans le dossier Scripts. Lorsque les contrôleurs de domaine étaient en état Préparé, les fichiers ont été répliqués entre le dossier FRS SYSVOL hérité et le nouveau dossier DFS-R SYSVOL.

• Exécutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Enregistrez un fichier test sous le nom %SystemRoot%\SYSVOL_DFSR \Sysvol\contoso.com\Scripts \TestDFSR.txt.

• Dans HQDC02, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol \contoso.com\Scripts.

• Vérifiez que le fichier TestDFSR.txt a bien été répliqué dans le dossier Scripts de l'ordinateur HQDC02.

Si le fichier n'apparaît pas immédiatement, patientez quelques instants.

Résultats : Au terme de cet exercice, vous aurez observé la réplication d'un fichier test entre les dossiers SYSVOL_DFSR Scripts de deux contrôleurs de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT




Question : Quelles différences vous attendriez-vous à voir entre deux entreprises dont l'une a initialement créé son domaine avec des contrôleurs de domaine Windows 2008 et l'autre a effectué une migration vers Windows Server 2008 depuis Windows Server 2003 ?

Question : Que devez-vous savoir lors de la migration de l'état Préparé vers l'état Redirigé ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT

Gestion des sites et de la réplication Active Directory 12-1

Module 12 Gestion des sites et de la réplication Active Directory

Table des matières : Leçon 1 : Configuration des sites et des sous-réseaux 12-4

Atelier pratique A : Configuration des sites et des sous-réseaux 12-23

Leçon 2 : Configuration des partitions d'application et du catalogue global 12-27

Atelier pratique B : Configuration des partitions d'application et du catalogue global 12-42

Leçon 3 : Configuration de la réplication 12-48

Atelier pratique C : Configuration de la réplication 12-75

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



Dans les modules précédents, vous avez appris que les contrôleurs d'un domaine Windows Server® 2008 étaient des homologues. Chaque contrôleur gère une copie de l'annuaire, exécute des services similaires pour prendre en charge l'authentification des entités de sécurité, et les modifications apportées à l'un d'entre eux sont répliquées dans tous les autres contrôleurs de domaine. En tant qu'administrateur d'une entreprise Windows®, l'une de vos tâches consiste à vous assurer que l'authentification est aussi efficace que possible et que la réplication entre les contrôleurs de domaine est optimale. Les sites Active Directory® sont le composant central du service d'annuaire prenant en charge les objectifs de la localisation et de la réplication des services. Dans ce module, vous allez apprendre à créer un service d'annuaire distribué capable de prendre en charge les contrôleurs de domaine situés dans des parties de votre réseau reliées par des connexions onéreuses, lentes ou non fiables. Vous y apprendrez à répartir les contrôleurs de domaine de manière stratégique et à gérer la réplication et l'utilisation des services. Vous apprendrez également à contrôler quelles données sont répliquées dans chaque contrôleur de domaine en configurant des partitions d'application et des catalogues globaux.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• configurer des sites et des sous-réseaux ;

• comprendre l'emplacement des contrôleurs de domaine et gérer les contrôleurs de domaine dans les sites ;

• configurer la réplication du jeu d'attributs partiels vers les serveurs de catalogues globaux ;

• implémenter la mise en cache de l'appartenance au groupe universel ;

• comprendre la fonction des partitions de l'annuaire d'applications ;

• configurer la topologie de réplication avec des objets de connexion, des serveurs tête de pont, des liens de sites et des ponts de liens de sites ;

• générer des rapports, analyser et résoudre les problèmes de réplication avec les outils repadmin.exe et dcdiag.exe ;

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 1 Configuration des sites et des sous-réseaux

Active Directory représente les personnes sous forme d'objets utilisateur dans le service d'annuaire. Il représente les ordinateurs par des objets ordinateur. Il représente la topologie du réseau par des objets appelés sites et sous-réseaux. Les objets site Active Directory sont utilisés pour gérer la réplication et la localisation des services et, par chance, la configuration des sites et des sous-réseaux est assez simple dans la plupart des environnements. Dans cette leçon, vous allez étudier les techniques et les concepts de base requis pour configurer et gérer des sites et des sous-réseaux.


• identifier le rôle des sites et des sous-réseaux ;

• décrire le processus utilisé par les clients pour localiser un contrôleur de domaine ;

• configurer des sites et des sous-réseaux ;

• gérer les objets serveur de contrôleur de domaine dans les sites.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement des sites

Points clés Lorsque les administrateurs décrivent leur infrastructure réseau, ils mentionnent souvent le nombre de sites que comprend leur entreprise. Pour la plupart d'entre eux, un site est un emplacement physique, par exemple un bureau ou une ville. Les sites sont connectés par des liaisons réseau qui peuvent être aussi simples que des connexions d'accès à distance ou aussi sophistiquées que des liaisons par fibre optique. Réunis, les emplacements physiques et leurs liaisons composent l'infrastructure du réseau.

Active Directory représente l'infrastructure réseau par des objets appelés sites et liens de site et, bien que les termes soient similaires, ces objets ne correspondent pas aux sites et aux liens décrits par les administrateurs. Cette leçon étudie les sites et la Leçon 3 les liens de sites.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Il est important de bien comprendre les propriétés et les rôles des sites dans Active Directory afin de saisir la subtile différence entre les sites Active Directory et les sites réseau. Les sites Active Directory sont des objets de l'annuaire, en particulier le conteneur Configuration (CN=Configuration,DC=domaine racine de la forêt). Ces objets permettent de mener à bien deux tâches de gestion de service :

• Gérer le trafic de réplication

• Simplifier la localisation des services

Trafic de réplication

La réplication est le transfert des modifications entre les contrôleurs de domaine. Lorsque vous ajoutez un utilisateur ou lorsque vous modifiez le mot de passe d'un utilisateur par exemple, la modification est validée dans l'annuaire par un seul contrôleur de domaine. Elle doit ensuite être communiquée à tous les autres contrôleurs du domaine.

Active Directory part de l'hypothèse que votre entreprise comprend deux types de réseau : l'un avec un haut degré de connectivité et l'autre avec un degré de connectivité moindre. De manière conceptuelle, une modification apportée à Active Directory doit être immédiatement répliquée dans les autres contrôleurs de domaine du réseau à connectivité élevée dans lequel la modification a été effectuée. Vous préférerez toutefois que la modification ne soit pas immédiatement répliquée par l'intermédiaire de connexions plus lentes, plus onéreuses ou moins fiables. Vous favoriserez plutôt la gestion de la réplication par les segments à connectivité moindre afin d'optimiser les performances, de réduire les coûts ou de gérer la bande passante.

Un site Active Directory représente une portion à connectivité élevée de votre entreprise. Lorsque vous définissez un site, ses contrôleurs de domaine répliquent les modifications presque instantanément. La réplication entre sites peut être planifiée et gérée.

Localisation des services

Active Directory est un service distribué. Cela signifie, en supposant que vous avez au moins deux contrôleurs de domaine, que plusieurs serveurs (contrôleurs de domaine) fournissent les mêmes services d'authentification et d'accès à l'annuaire. Si vous avez plusieurs sites réseau et que vous placez un contrôleur de domaine dans chacun d'eux, vous préférerez encourager les clients à s'authentifier auprès du contrôleur de domaine de leur site. Vous avez là un exemple de localisation de services.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Les sites Active Directory vous aident à localiser les services, notamment ceux fournis par les contrôleurs de domaine. À l'ouverture d'une session, les clients Windows sont automatiquement orientés vers un contrôleur de domaine de leur site. Lorsque ce site ne comprend aucun contrôleur de domaine, ils sont dirigés vers le contrôleur d'un autre site, capable de les authentifier efficacement.

D'autres services peuvent également être localisés. Espaces de noms du système de fichiers distribué (espaces de noms DFS), par exemple, est un service localisé. Les clients DFS obtiendront les ressources répliquées du serveur le plus efficace, selon leur site Active Directory. De fait, comme les clients savent dans quel site ils se trouvent, tout service distribué peut être écrit de manière à tirer parti de la structure de sites Active Directory pour localiser intelligemment l'utilisation des services.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Planification des sites

Points clés Les sites étant utilisés pour optimiser la réplication et permettre la localisation des services, vous devez soigneusement concevoir votre structure de sites Active Directory. Les sites Active Directory peuvent ne pas correspondre exactement à ceux de votre réseau. Imaginons deux scénarios :

• Vos bureaux sont situés dans deux emplacements distincts. Vous placez un contrôleur de domaine dans chaque emplacement. Ces emplacements présentent un haut degré de connectivité et, pour améliorer les performances, vous décidez de configurer un seul site Active Directory comprenant les deux emplacements.

• Votre entreprise est située sur un vaste campus à haut degré de connectivité. Du point de vue de la réplication, l'entreprise peut être considérée comme un seul site. Toutefois, pour encourager les clients à utiliser les services distribués de leur emplacement, vous configurez plusieurs sites pour assurer la localisation des services.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Un site Active Directory peut donc inclure plusieurs sites réseau ou être un sous-ensemble d'un seul site réseau. L'essentiel est de se rappeler que les sites servent à la fois pour la gestion de la réplication et pour la localisation des services. Pour déterminer le nombre de sites dont vous avez besoin, utilisez plusieurs caractéristiques de votre entreprise :

Vitesse de connexion

Tout site Active Directory représente une unité du réseau caractérisée par une connexion rapide, fiable et peu onéreuse. Beaucoup de documentations suggèrent que le plus bas débit d'un site ne doit pas être inférieur à 512 Kbits/s. Toutefois, ce débit conseillé peut varier. Certaines organisations ont des liaisons beaucoup plus lentes (56 ou même 28 Kbits/s) dans un site.

Placement des services

Les sites Active Directory gérant la réplication Active Directory et la localisation des services, il n'est pas pratique de créer un site pour un emplacement réseau qui n'héberge aucun contrôleur de domaine ou autre service prenant en charge Active Directory, tel qu'une ressource DFS répliquée.

Remarque : concernant les sites sans contrôleur de domaine : les contrôleurs de domaine étant uniquement un service distribué dans une entreprise Windows, d'autres services, tels que les ressources DFS répliquées, connaissent également l'existence des sites. Vous pouvez configurer des sites pour localiser des services autres que l'authentification. Dans ce cas, vous aurez des sites sans contrôleur de domaine.

Population d'utilisateurs

Les concentrations d'utilisateurs peuvent également influencer la conception de vos sites, mais indirectement. Si un emplacement du réseau héberge un grand nombre d'utilisateurs pour qui l'impossibilité de s'authentifier poserait des problèmes, placez-y un contrôleur de domaine pour prendre en charge l'authentification à cet endroit. Dès qu'un contrôleur de domaine ou un autre service distribué est placé à cet endroit pour prendre ces utilisateurs en charge, vous souhaiterez y gérer la réplication Active Directory ou localiser les services en configurant un site Active Directory qui représente cet emplacement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Synthèse des critères de planification des sites

Chaque forêt Active Directory comprend au moins un site. Le site par défaut, créé lorsque vous instanciez une forêt avec le premier contrôleur de domaine, est appelé Default-First-Site-Name. Vous devez créer des sites supplémentaires dans les cas suivants :

• Une partie du réseau est isolée par une liaison lente.

• Une partie du réseau a suffisamment d'utilisateurs pour justifier l'hébergement de contrôleurs de domaine ou d'autres services à cet emplacement.

• Le trafic des requêtes envoyées à l'annuaire justifie la présence d'un contrôleur de domaine local.

• Vous souhaitez contrôler la localisation des services.

• Vous souhaitez contrôler la réplication entre les contrôleurs de domaine.

Remarque sur le placement des serveurs DC Les administrateurs réseau souhaitent souvent savoir quand il est recommandé de placer un contrôleur de domaine (DC) dans un site distant. La réponse est : « cela dépend ». Pour être plus précis, cela dépend des ressources dont les utilisateurs ont besoin dans le site et du niveau de tolérance des interruptions de service. Imaginons par exemple que les utilisateurs d'un site distant exécutent toutes leurs tâches en accédant aux ressources du centre de données. Si la liaison avec ce site distant est rompue, les utilisateurs ne peuvent plus accéder aux ressources dont ils ont besoin, et un contrôleur de domaine local n'améliorerait pas la situation. Toutefois, si les utilisateurs accèdent aux ressources du site distant et que la liaison est rompue, un contrôleur de domaine local peut continuer à leur fournir l'authentification et ils peuvent poursuivre leur travail avec leurs ressources locales.

Dans la plupart des scénarios de succursales, ces bureaux hébergent des ressources dont les utilisateurs ont besoin pour effectuer leur travail quotidien. Si ces ressources ne sont pas stockées directement dans l'ordinateur de l'utilisateur, celui-ci doit être authentifié. C'est la raison pour laquelle un contrôleur de domaine est généralement recommandé. L'introduction des Contrôleurs de domaine en lecture seule (RODC) sous Windows Server 2008 réduit les risques et la charge de gestion dans les succursales. Il est ainsi plus facile pour la plupart des organisations de déployer des DC dans chaque emplacement du réseau.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Création des sites

Points clés Les sites et la réplication sont gérés à l'aide du composant logiciel enfichable Sites et services Active Directory. Pour définir un site Active Directory, vous allez créer un objet de site de classe. L'objet site est un conteneur qui gère la réplication des contrôleurs de domaine du site. Vous allez également créer un ou plusieurs objets sous-réseau. Un objet sous-réseau définit une plage d'adresses IP et est relié à un site. La localisation des services est obtenue lorsque l'adresse IP d'un client peut être associée à un site via la relation entre l'objet sous-réseau et l'objet site.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour créer un site :

1. Cliquez avec le bouton droit sur le nœud Sites dans Sites et services Active Directory, puis cliquez sur Nouveau site.

2. Dans la boîte de dialogue Nouvel objet – Site qui s'ouvre, entrez le nom du site et sélectionnez un lien de site.

Le lien de site par défaut, DEFAULTIPSITELINK, sera le seul lien de site disponible jusqu'à ce que vous en créiez d'autres (voir la Leçon 3).

Après la création d'un site, vous pouvez cliquer sur son entrée et choisir Renommer pour changer son nom. Il est recommandé de renommer le site Default-First-Site-Name afin d'obtenir un nom qui convienne à la topologie de votre réseau et de votre entreprise.

Les sites ne sont utiles que lorsqu'un client ou un serveur sait à quel site il appartient. Pour obtenir cette information, vous associez généralement l'adresse IP d'un système avec un site, et les objets sous-réseau récupèrent cette association.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour créer un objet sous-réseau :

1. Cliquez avec le bouton droit sur le nœud Sous-réseaux dans Sites et services Active Directory, puis cliquez sur Nouveau sous-réseau. La boîte de dialogue Nouvel objet – Sous-réseau s'affiche.

2. Entrez le préfixe du réseau et la longueur du masque de sous-réseau.

L'objet sous-réseau est défini sous forme de plage d'adresses à l'aide de la notation des préfixes du réseau. Par exemple, pour un sous-réseau représentant les adresses 10.1.1.1 à 10.1.1.254 avec un masque de sous-réseau de 24 bits, le préfixe serait 10.1.1.0/24. Pour plus d'informations sur la saisie des adresses, cliquez sur le lien En savoir plus sur la saisie des préfixes d'adresse dans la boîte de dialogue Nouvel objet – Sous-réseau.

3. Après la saisie du préfixe du réseau, sélectionnez l'objet site avec lequel le sous-réseau est associé.

Un sous-réseau ne peut être associé qu'à un seul site. Toutefois, un site peut avoir plusieurs sous-réseaux reliés à lui. La boîte de dialogue Propriétés d'un site, illustrée par la capture d'écran suivante, présente les sous-réseaux associés au site. Toutefois, vous ne pouvez pas modifier les sous-réseaux dans cette boîte de dialogue. Pour changer le site auquel un sous-réseau est relié, vous devez ouvrir les propriétés du sous-réseau, illustrées par la capture d'écran suivante.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Remarque : définissez chaque sous-réseau IP. Dans votre environnement de production, assurez-vous de définir chaque sous-réseau IP en tant qu'objet sous-réseau dans Active Directory. Si l'adresse IP d'un client n'est pas incluse dans une plage de sous-réseaux, ce client est incapable de savoir à quel site Active Directory il appartient. Ceci risque d'entraîner des problèmes de performance et de fonctionnement. N'oubliez pas les sous-réseaux du segment principal et ceux utilisés pour l'accès distant, tel que les plages d'adresses d'un réseau privé virtuel (VPN).

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Gestion des contrôleurs de domaine des sites

Points clés Parfois, vous devez gérer les contrôleurs de domaine des sites Active Directory :

• Vous créez un nouveau site et vous y placez un contrôleur de domaine existant.

• Vous rétrogradez un contrôleur de domaine.

• Vous affectez un nouveau contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsque vous créez votre forêt Active Directory, le premier contrôleur de domaine est automatiquement placé sous l'objet site nommé Default-First-Site-Name. Vous pouvez voir le contrôleur de domaine SERVER01.contoso.com dans la capture d'écran suivante.

D'autres contrôleurs de domaine seront ajoutés aux sites en fonction de leurs adresses IP. Par exemple, si un serveur dont l'adresse IP est 10.1.1.17 est promu contrôleur de domaine, il sera automatiquement ajouté au site BRANCHA car le sous-réseau 10.1.1.0/24 a été associé au site BRANCHA (voir la diapositive précédente). La capture d'écran précédente présente SERVER02 dans le site BRANCHA.

Chaque site contient un conteneur Servers, qui contient lui-même un objet pour chaque contrôleur de domaine du site. Le conteneur Servers d'un site doit présenter uniquement les contrôleurs de domaine, pas tous les serveurs. Lorsque vous affectez un nouveau contrôleur de domaine, il sera placé par défaut dans le site associé à son adresse IP. Toutefois, l'Assistant Installation des services de domaine Active Directory vous permettra de spécifier un autre site. Vous pouvez également pré-créer l'objet serveur du contrôleur de domaine dans le site correct en cliquant avec le bouton droit sur le conteneur Servers du site concerné et en choisissant Serveur dans le menu Nouveau.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour finir, vous pouvez déplacer le contrôleur de domaine dans le site approprié après l'installation en cliquant avec le bouton droit sur le serveur et en choisissant Déplacer. Dans la boîte de dialogue Déplacer le serveur, sélectionnez le nouveau site et cliquez sur OK. Le contrôleur de domaine est déplacé. Il est recommandé de placer un contrôleur de domaine dans l'objet site qui est associé à l'adresse IP du contrôleur de domaine. Si un DC est multirésident, il ne peut appartenir qu'à un seul site. Si un site n'a aucun contrôleur de domaine, les utilisateurs pourront toujours se connecter au domaine. Leurs demandes d'ouverture de session seront gérées par un contrôleur de domaine d'un site adjacent ou par un autre contrôleur du domaine.

Pour supprimer un objet contrôleur de domaine, cliquez avec le bouton droit sur son entrée et choisissez Supprimer.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Emplacement des contrôleurs de domaine : enregistrements SRV

Points clés Au début de cette leçon, vous avez examiné les services de domaine Active Directory (AD DS) en tant que service distribué, fournissant l'authentification et l'accès à l'annuaire sur plusieurs contrôleurs de domaine. Vous avez appris à identifier, dans la topologie de votre réseau, l'emplacement où vous devez définir les sites et placer les contrôleurs de domaine. Maintenant, vous êtes prêt à examiner comment fonctionne précisément la localisation des service : comment les clients Active Directory sont informés de la présence des sites et comment ils localisent le contrôleur de domaine de leur site. Bien que ce niveau de détails soit peu susceptible de faire l'objet d'une question dans l'examen de certification, il vous sera très utile lorsque vous devrez résoudre les problèmes d'authentification d'un ordinateur ou d'un utilisateur.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Enregistrements du localisateur de service

Lorsqu'un contrôleur de domaine est ajouté au domaine, il publie ses services en créant des enregistrements SRV (Service Locator), également appelés enregistrements du localisateur dans le système DNS. À la différence des enregistrements hôte (enregistrements A), qui établissent la correspondance entre les noms d'hôte et les adresses IP, les enregistrements SRV mappent les services avec les noms d'hôte. Le contrôleur de domaine publie sa capacité à fournir l'authentification et l'accès à l'annuaire en inscrivant des enregistrements Kerberos et LDAP SRV. Ces enregistrements SRV sont ajoutés à plusieurs dossiers dans les zones DNS de la forêt. Le premier dossier se trouve au sein de la zone du domaine. Il est appelé _tcp et contient les enregistrements SRV de tous les contrôleurs du domaine. Le second dossier est spécifique au site qui contient le contrôleur de domaine, avec le chemin _sites\nomdusite\_tcp, où nomdusite correspond au nom du site.

Dans la capture d'écran précédente, vous pouvez voir les enregistrements Kerberos et LDAP SRV de SERVER02.contoso.com dans son site, _sites\BRANCHA\_tcp. Vous voyez également le dossier _tcp au premier niveau sous la zone.

Les mêmes enregistrements sont inscrits à plusieurs endroits de la zone _msdcs.nomDomaine, par exemple _msdcs.contoso.com dans la capture d'écran précédente. Cette zone contient les enregistrements des Services de contrôleur de domaine Microsoft. Les caractères de soulignement sont imposés par la norme RFC 2052.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Les enregistrements SRV contiennent les éléments suivants :

• Le nom du service et le numéro du port : cette partie de l'enregistrement SRV désigne un service sur un port fixe. Le port n'est pas nécessairement un port très courant. Sous Windows Server 2008, les enregistrements SRV incluent LDAP (port 389), Kerberos (port 88), le protocole de mots de passe Kerberos (KPASSWD, port 464) et les services CG (port 3268).

• Protocole : TCP ou UDP sera indiqué en tant que protocole de transport pour le service. Le même service peut utiliser les deux protocoles, dans des enregistrements SRV distincts. Les enregistrements Kerberos, par exemple, sont inscrits à la fois pour TCP et pour UDP. Les clients Microsoft utilisent uniquement le protocole TCP, mais les clients UNIX peuvent utiliser le protocole TCP.

• Nom d'hôte : ce nom correspond à l'enregistrement A (Hôte) du serveur qui héberge le service. Lorsqu'un client demande un service, le serveur DNS renvoie l'enregistrement SRV et les enregistrements A associés. Ainsi, le client n'a pas besoin d'envoyer une autre requête pour résoudre l'adresse IP d'un service.

Dans les enregistrements SRV, le nom du service respecte la hiérarchie DNS standardisée : les composants sont séparés par des points. Par exemple, le service Kerberos d'un contrôleur de domaine est inscrit au format suivant :

kerberos._tcp.nomSite._sites.nomDomaine

En lisant cet enregistrement SRV de droite à gauche, comme les autres enregistrements DNS, cela donne :

• nomDomaine : le domaine ou la zone, par exemple contoso.com

• _sites : tous les sites inscrits avec DNS

• nomSite : site du contrôleur de domaine qui a inscrit le service

• _tcp : tout service TCP du site

• kerberos : centre de distribution de clés Kerberos (KDC) utilisant TCP comme protocole de transport

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Emplacement des contrôleurs de domaine : Client

Points clés Imaginons qu'un client Windows vienne d'être joint au domaine. Il redémarre, reçoit une adresse IP d'un serveur DHCP et est prêt à s'authentifier auprès du domaine. Comment le client sait-il où trouver un contrôleur de domaine ?

Il n'en sait rien. Donc, il demande le domaine d'un contrôleur de domaine par la requête du dossier _tcp qui, vous vous en souvenez, contient les enregistrements SRV de tous les contrôleurs du domaine. Le système DNS renvoie la liste de tous les contrôleurs de domaine correspondants, et le client tente alors de tous les contacter. Le premier contrôleur de domaine qui répond au client examine l'adresse IP de celui-ci, il croise les références entre cette adresse et les objets sous-réseau, puis il signale au client à quel site celui-ci appartient. Le client stocke le nom du site dans son Registre, puis demande les contrôleurs de domaine du dossier _tcp propre à ce site. Le système DNS renvoie la liste de tous les contrôleurs de domaine de ce site. Le client tente alors de tous les contacter, et le premier contrôleur de domaine qui répond authentifie le client.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Le client établit une relation d'affinité avec ce contrôleur de domaine et tentera toujours de s'authentifier auprès de celui-ci dans le futur. Si ce contrôleur de domaine est indisponible, le client redemande le dossier _tcp du site et tente de contacter tous ses contrôleurs de domaine. Cependant, que se passe-t-il si le client utilise un ordinateur portable ? Imaginons que l'ordinateur a été authentifié dans le site BRANCHA et que l'utilisateur amène cet ordinateur dans le site BRANCHB. Lorsque l'ordinateur démarre, il tente de s'authentifier auprès de son contrôleur de domaine préféré dans le site BRANCHA. Ce contrôleur de domaine s'aperçoit que l'adresse IP du client est associée au site BRANCHB et lui signale son nouveau site. Le client interroge alors le système DNS pour obtenir les contrôleurs de domaine du site BRANCHB.

Vous voyez ainsi comment un client est encouragé à utiliser les services de son site : en stockant les informations sur les sites et les sous-réseaux dans Active Directory et en inscrivant les services dans le système DNS. Le choix des services résidant dans le site des clients est la définition même de localisation de services.

Lectures complémentaires

• Pour plus d'informations sur l'emplacement des contrôleurs de domaine, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168550.

Couverture des sites

Que se passe-t-il si un site n'a aucun contrôleur de domaine ? Les sites peuvent servir à diriger les utilisateurs vers des copies locales des ressources répliquées, telles que les dossiers partagés et répliqués dans un espace de noms DFS. Il est donc possible que certains sites n'aient pas de contrôleur de domaine. Dans ce cas, un contrôleur de domaine proche inscrira ses enregistrements SRV dans le site au cours d'un processus appelé couverture de sites. Pour être plus précis, tout site sans contrôleur de domaine sera généralement couvert par un contrôleur de domaine d'un site présentant le moindre coût pour cette couverture. Vous en découvrirez plus sur les coûts de liaison des sites à la Leçon 3. Vous pouvez également configurer manuellement la couverture des sites et les priorités des enregistrements SRV si vous souhaitez implémenter un contrôle strict de l'authentification auprès de sites sans contrôleur de domaine. L'URL mentionnée contient des détails sur l'algorithme qui détermine quel contrôleur de domaine couvre automatiquement un site qui en est dépourvu.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique A : Configuration des sites et des sous-réseaux

Scénario Vous êtes administrateur chez Contoso, Ltd. Vous vous préparez à améliorer la localisation des services et la réplication Active Directory dans votre entreprise. L'administrateur précédent n'a pas modifié la configuration par défaut des sites et des sous-réseaux. Vous souhaitez commencer par définir votre topologie physique dans Active Directory.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Configuration du site par défaut Dans cet exercice, vous allez renommer le site Default-First-Site-Name et lui associer deux sous-réseaux.



2. Modifier le nom Default-First-Site-Name.

3. Créer un sous-réseau avec association à un site.


Pat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateur virtuel peut prendre plusieurs minutes.

• Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans y ouvrir de session.

• Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir de session.

• Après le démarrage de HQDC03, démarrez 6238B-BRANCHDC01-B sans y ouvrir de session.

• Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâche suivante.

Tâche 2 : Changement du nom Default-First-Site-Name • Exécutez Sites et services Active Directory en tant qu'administrateur, avec le

nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Remplacez le nom Default-First-Site-Name par HEADQUARTERS.

Tâche 3 : Création d'un sous-réseau avec association à un site • Créez deux sous-réseaux : 10.0.0.0/24 et 10.0.1.0/24, et associez chacun

d'eux au site HEADQUARTERS.

Résultats : Au terme de cet exercice, vous devriez avoir un site nommé HEADQUARTERS et deux sous-réseaux (10.0.0.0/24 et 10.0.1.0/24) associés à ce site.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Création de sites supplémentaires Dans cet exercice, vous allez créer un second site et lui associer un sous-réseau.


1. Créer des sites supplémentaires.

2. Créer des sous-réseaux et association avec les sites.

Tâche 1 : Création de sites supplémentaires • Créez un site nommé HQ-BUILDING-2.

• Créez un site nommé BRANCHA.

Tâche 2 : Création de sous-réseaux et association avec les sites • Créez un sous-réseau, 10.1.0.0/24, et associez-le au site HQ-BUILDING-2.

• Créez un sous-réseau, 10.2.0.0/24, et associez-le au site BRANCHA.

Résultats : Au terme de cet exercice, vous devriez avoir créé deux nouveaux sites, HQ-BUILDING-2 et BRANCHA, et les avoir associés aux sous-réseaux 10.1.0.0/24 et 10.2.0.0/24.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Déplacement de contrôleurs de domaine dans des sites

Tâche 1 : Déplacement de contrôleurs de domaine vers de nouveaux sites • Déplacez HQDC03 dans le site HQ-BUILDING-2.

• Déplacez BRANCHDC01 dans le site BRANCHA.

Important : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce module.


Question : Vous avez un site de 50 sous-réseaux, chacun avec une adresse de sous-réseau 10.0.x.0/24, et vous n'avez pas d'autre sous-réseau 10.0.x.0. Comment faire pour faciliter l'identification des 50 sous-réseaux et les associer à un site ?

Question : Pourquoi est-il important que tous les sous-réseaux soient identifiés et associés à un site dans une entreprise à plusieurs sites ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 2 Configuration des partitions d'application et du catalogue global

Dès que votre domaine comporte plus d'un contrôleur de domaine, vous devez envisager la réplication de la base de données de l'annuaire entre les contrôleurs de domaine. Dans cette leçon, vous allez découvrir quelles partitions de l'annuaire sont répliquées dans chaque contrôleur de domaine d'une forêt et comment gérer la réplication du catalogue global (CG) et des partitions d'application.


• définir l'objectif du catalogue global ;

• configurer des contrôleurs de domaine en tant que serveurs CG ;

• implémenter la mise en cache de l'appartenance au groupe universel ;

• comprendre la fonction des partitions de l'annuaire d'applications.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Examen des partitions Active Directory

Points clés Dans le Module 1, vous avez appris que les Services de domaine Active Directory (AD DS) comprennent un magasin de données pour l'identité et la gestion, notamment de la base de données de l'annuaire, Ntds.dit. Ce seul fichier contient les partitions de l'annuaire. Chaque partition de l'annuaire, également appelée contexte de nommage, contient les objets d'une certaine étendue. Trois contextes de nommage majeurs sont abordés dans ce cours :

• Domaine : le contexte de nommage Domaine contient tous les objets stockés dans un domaine, dont les utilisateurs, les groupes, les ordinateurs et les conteneurs de la stratégie de groupe (GPC).

• Configuration : la partition Configuration contient les objets qui représentent la structure logique de la forêt (domaines), ainsi que la topologie physique (sites, sous-réseaux et services).

• Schéma : le Schéma définit les classes des objets et leurs attributs pour l'ensemble de l'annuaire.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Chaque contrôleur de domaine conserve une copie, ou réplica, de plusieurs contextes de nommage. Comme le Schéma, la Configuration est répliquée dans chaque contrôleur de domaine de la forêt. Le contexte de nommage Domaine d'un domaine est répliqué dans tous les contrôleurs de ce domaine mais pas dans ceux des autres domaines. Ainsi, chaque contrôleur de domaine possède au moins trois réplicas : le contexte de nommage Domaine de son domaine, Configuration et Schéma.

Traditionnellement, les réplicas étaient des copies intégrales, contenant chaque objet d'un attribut, et ils étaient inscriptibles dans tous les contrôleurs de domaine. Depuis Windows Server 2008, les Contrôleurs de domaine en lecture seule (RODC) ont légèrement changé la donne. Tout RODC conserve un réplica en lecture seule de tous les objets des contextes de nommage Configuration, Schéma et Domaine de son domaine. Toutefois, certains attributs ne sont pas répliqués dans un RODC, notamment les données confidentielles telles que les mots de passe des utilisateurs, à moins que la stratégie de mots de passe du RODC autorise cette réplication. Il existe également des attributs correspondant à des données confidentielles des domaines et de la forêt qui ne sont jamais répliqués dans les RODC.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement du catalogue global

Points clés Imaginez une forêt comprenant deux domaines. Chacun d'eux possède deux contrôleurs de domaine. Ces quatre contrôleurs de domaine conserveront un réplica des contextes de nommage Schéma et Configuration de la forêt. Les contrôleurs de domaine du Domaine A ont des réplicas du contexte de nommage du Domaine A, et les contrôleurs de domaine du Domaine B ont des réplicas du contexte de nommage du Domaine B.

Que se passe-t-il si un utilisateur du Domaine B recherche un utilisateur, un ordinateur ou un groupe du Domaine A ? Les contrôleurs du Domaine B ne conservent aucune information sur les objets du Domaine A. Donc, un contrôleur du Domaine B ne peut pas répondre à une requête demandant des objets du contexte de nommage Domaine du Domaine A.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


C'est là qu'intervient le catalogue global. Le catalogue global (CG) est une partition qui stocke des informations sur chaque objet de la forêt. Lorsqu'un utilisateur du Domaine B recherche un objet du Domaine A, le CG fournit les résultats de la requête. Pour optimiser l'efficacité du CG, celui-ci ne contient pas tous les attributs de chaque objet de la forêt. Il contient uniquement un sous-ensemble des attributs utiles pour la recherche inter-domaines. C'est pourquoi le CG est également appelé Jeu d'attributs partiel (PAS). Étant donné son rôle dans la prise en charge des recherches, vous pouvez considérer le CG comme une sorte d'index du magasin de données AD DS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Emplacement des serveurs de catalogue global

Points clés Le catalogue global améliore considérablement l'efficacité du service d'annuaire et il est obligatoire pour les applications telles que Microsoft Exchange Server et Microsoft Office Outlook®. C'est pourquoi il faut qu'un catalogue global soit disponible pour ces applications, entre autres. Seul un contrôleur de domaine peut servir de CG et, dans une configuration idéale, chaque contrôleur de domaine serait également un serveur CG. En réalité, de nombreuses organisations configurent désormais tous leurs contrôleurs de domaine en tant que serveurs CG.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


L'inconvénient d'une telle configuration concerne la réplication. Le CG est une partition supplémentaire qui doit être répliquée. Dans une forêt à un seul domaine, une légère charge supplémentaire est ajoutée lorsque vous configurez tous les contrôleurs de domaine en tant que serveurs CG. En effet, tous les contrôleurs de domaine conservent déjà un jeu complet des attributs de tous les objets du domaine et de la forêt. Dans une grande forêt à plusieurs domaines, il y aura une surcharge liée à la réplication des modifications du jeu d'attributs partiel des objets dans d'autres domaines. Toutefois, de nombreuses organisations estiment que la réplication Active Directory est suffisamment efficace pour répliquer le CG sans impact notable sur leurs réseaux et que ses avantages sont bien supérieurs à cet inconvénient. Si vous décidez de configurer tous vos contrôleurs de domaine en serveurs CG, vous n'aurez plus à vous inquiéter de l'emplacement du maître d'opérations de l'infrastructure. En effet, son rôle n'est plus nécessaire dans un domaine où tous les contrôleurs de domaine sont des serveurs CG.

Il est fortement recommandé de configurer un serveur CG dans un contrôleur de domaine d'un site avec une ou plusieurs des caractéristiques suivantes :

• Une application couramment utilisée interroge l'annuaire à l'aide du port 3268, le serveur CG.

• La connexion à un serveur CG est lente ou non fiable.

• Le site contient un ordinateur exécutant Exchange Server.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Configuration d'un serveur de catalogue global (CG)

Points clés Lorsque vous créez le premier domaine de la forêt, le premier contrôleur de domaine est configuré en tant que Catalogue global (CG).

Pour chaque contrôleur de domaine supplémentaire, vous devez décider s'il doit s'agir d'un serveur CG ou non. L'Assistant Installation des services de domaine Active Directory et la commande Dcpromo.exe vous permettent tous les deux de configurer un serveur CG lors de la promotion d'un contrôleur de domaine.

Vous pouvez également ajouter un CG à un contrôleur de domaine ou l'en retirer à l'aide de Sites et services Active Directory.

Pour configurer un contrôleur de domaine en tant que catalogue global :

1. Développez le site, son conteneur Serveurs et l'objet serveur du contrôleur de domaine.

2. Cliquez avec le bouton droit sur le nœud Paramètres NTDS et choisissez Propriétés.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


3. Dans l'onglet Général, illustré dans la capture d'écran suivante, cochez la case Catalogue global.

Pour supprimer le catalogue global d'un contrôleur de domaine, répétez la même procédure en désactivant la case à cocher Catalogue global.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Mise en cache des appartenances à un groupe universel

Points clés Dans le Module 4, vous avez appris qu'Active Directory prend en charge les groupes qui ont une étendue universelle. Les groupes universels sont conçus pour inclure des utilisateurs et des groupes de plusieurs domaines dans une forêt. L'appartenance aux groupes universels est répliquée dans le catalogue global. Lorsqu'un utilisateur ouvre une session, un serveur CG fournit son appartenance à un groupe universel. Si aucun CG n'est disponible, l'appartenance à un groupe universel ne l'est pas non plus. Il est possible d'utiliser un groupe universel pour refuser l'accès d'un utilisateur aux ressources. C'est pourquoi Windows évite tout incident de sécurité en refusant l'authentification de l'utilisateur auprès du domaine. Si l'utilisateur a déjà ouvert une session sur son ordinateur auparavant, il peut le refaire à l'aide de ses informations d'identification mises en cache, mais dès qu'il tente d'accéder aux ressources du réseau, l'accès lui est refusé.

Pour résumer : si aucun serveur CG n'est disponible, les utilisateurs ne pourront pas se connecter ni accéder aux ressources du réseau.

Si chaque contrôleur de domaine est un serveur CG, ce problème ne survient pas.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Toutefois, si la réplication vous inquiète et si vous avez donc choisi de ne pas configurer un contrôleur de domaine en serveur CG, vous pouvez faciliter les ouvertures de session en activant la Mise en cache des appartenances aux groupes universels (UGMC). Lorsque vous configurez la mise en cache de l'appartenance au groupe universel dans un contrôleur de domaine d'une succursale par exemple, ce contrôleur de domaine va obtenir les informations d'appartenance auprès d'un CG pour un utilisateur lors de sa première ouverture de session dans le site. Et ce contrôleur de domaine va mettre ces informations en cache indéfiniment, en les actualisant toutes les huit heures. Ainsi, si l'utilisateur se connecte ultérieurement et qu'aucun serveur CG n'est disponible, le contrôleur de domaine peut utiliser ses informations d'appartenance mises en cache pour autoriser la connexion de cet utilisateur.

Il est donc recommandé de configurer la mise en cache UGMC dans les contrôleurs de domaine des sites dont la connexion à un serveur de catalogue global est peu fiable.

Pour configurer la mise en cache UGMC :

1. Ouvrez le composant logiciel enfichable Sites et services Active Directory et sélectionnez le site concerné dans l'arborescence de la console.

2. Dans le volet d'informations, cliquez avec le bouton droit sur Paramètres de site NTDS, puis choisissez Propriétés.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


3. La boîte de dialogue Propriétés des paramètres de site NTDS, illustrée dans la capture d'écran suivante, expose l'option Activer la mise en cache de l'appartenance au groupe universel. Vous pouvez cocher cette case et spécifier le catalogue global à partir duquel actualiser la mise en cache de l'appartenance.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement des partitions de l'annuaire d'applications

Points clés Bien que les partitions Domaine, Configuration et Schéma de l'annuaire soient répliquées dans tous les contrôleurs de domaine d'un domaine, et que les partitions Configuration et Schéma soient encore répliquées dans tous les contrôleurs de domaine de la forêt, et que le jeu d'attributs partiel soit répliqué par les serveurs CG, Active Directory prend également en charge les partitions de l'annuaire d'applications. Une partition de l'annuaire d'applications est une partie du magasin de données qui contient les objets requis par une application ou un service qui est extérieur au service AD DS central. À la différence des autres partitions, les partitions d'application peuvent être ciblées pour se répliquer dans certains contrôleurs de domaine. Par défaut, elles ne sont pas répliquées dans tous les contrôleurs de domaine.

Les partitions de l'annuaire d'applications sont conçues pour prendre en charge les applications et les services Active Directory. Elles peuvent contenir tout type d'objets, excepté les entités de sécurité telles que les utilisateurs, les ordinateurs et les groupes de sécurité. Ces partitions étant répliquées uniquement lorsque c'est nécessaire, elles offrent les avantages de la tolérance de pannes, de la disponibilité et des performances tout en optimisant le trafic de la réplication.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour comprendre le fonctionnement de ces partitions, examinez celles qui sont conservées par un serveur DNS Microsoft. Lorsque vous créez une zone intégrée à Active Directory, les enregistrements DNS sont répliqués entre les serveurs DNS à l'aide d'une partition de l'annuaire d'applications. La partition et ses objets enregistrement DNS ne sont pas répliqués dans tous les contrôleurs de domaine, uniquement dans ceux qui jouent le rôle de serveur DNS.

Pour explorer les partitions de l'annuaire d'applications de votre forêt :

1. Ouvrez le composant logiciel enfichable Éditeur ADSI.

2. Cliquez avec le bouton droit sur la racine de l'Éditeur ADSI, puis choisissez Connexion à.

3. Dans la liste déroulante Sélectionnez un contexte d'attribution de noms connu, choisissez Configuration, puis cliquez sur OK.

4. Développez Configuration et le dossier représentant la partition Configuration, puis sélectionnez le dossier Partitions CN=Partitions dans l'arborescence de la console.

Dans le volet d'informations, vous verrez les partitions stockées dans votre magasin de données AD DS, comme illustré dans la capture d'écran suivante.

Notez les deux partitions d'application de la figure, ForestDnsZones et DomainDnsZones. La plupart des partitions d'applications sont créées par les applications qui en ont besoin. DNS en est un exemple, et Telephony Application Programming Interface (TAPI) en est un autre. Les membres du groupe Admins de l'entreprise peuvent également créer des partitions de l'annuaire d'applications manuellement à l'aide de la commande Ntdsutil.exe.

Une partition d'applications peut apparaître à tout endroit de l'espace de noms de la forêt où peut apparaître une partition de domaines. Les noms uniques des partitions DNS (DC=DomainDnsZones,DC=contoso,DC=com, par exemple) placent les partitions en position d'enfant de la partition de domaines DC=contoso,DC=com. Une partition d'applications peut également être un enfant d'une autre partition d'applications ou une nouvelle arborescence dans la forêt.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


En général, vous utiliserez des outils propres à l'application pour gérer la partition de l'annuaire d'applications, ses données et sa réplication. Par exemple, l'ajout d'une zone intégrée à Active Directory à un serveur DNS configurera automatiquement le contrôleur de domaine pour qu'il reçoive un réplica de la partition DomainDns. Avec des outils tels que Ntdsutil.exe et Ldp.exe, vous pouvez gérer les partitions de l'annuaire d'applications directement.

Il est important de tenir compte des partitions d'applications avant de rétrograder un contrôleur de domaine. Si un contrôleur de domaine héberge une partition de l'annuaire d'applications, vous devez évaluer la raison d'être de cette partition : est-elle requise par toutes les applications et le contrôleur de domaine conserve-t-il son dernier réplica. Auquel cas, la rétrogradation du contrôleur de domaine entraînera une perte définitive de toutes les informations stockées dans la partition. Bien que l'Assistant Installation des services de domaine Active Directory vous propose de supprimer lui-même les partitions de l'annuaire d'applications, il est recommandé de le faire manuellement avant de rétrograder un contrôleur de domaine.

Lectures complémentaires • Pour plus d'informations sur les partitions de l'annuaire d'applications,

consultez l'article http://go.microsoft.com/fwlink/?LinkId=168551.

• Pour apprendre à gérer les partitions de l'annuaire d'applications, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168553.

• Pour plus d'informations sur les partitions de l'annuaire d'applications et la rétrogradation des contrôleurs de domaine, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168554.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique B : Configuration des partitions d'application et du catalogue global

Scénario Vous êtes administrateur chez Contoso, Ltd. Dans le cadre de l'amélioration de la disponibilité et de la résilience du service d'annuaire, vous décidez de configurer des serveurs CG supplémentaires et la mise en cache des appartenances aux groupes universels. Vous êtes également intéressé par la relation entre les zones intégrées à Active Directory et les partitions d'application DNS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Configuration d'un serveur de catalogue global (CG) Le premier contrôleur de domaine d'une forêt agit en tant que serveur de catalogue global. Vous préférerez placer des serveurs CG à d'autres endroits pour prendre en charge les interrogations de l'annuaire, les ouvertures de session et les applications telles que Exchange Server. Dans cet exercice, vous allez configurer BRANCHDC01 pour qu'il héberge un réplica du jeu d'attributs partiel : le catalogue global.



2. Configurer un serveur de catalogue global

Tâche 1 : Démarrage des ordinateurs virtuels et ouverture d'une session Les ordinateurs virtuels devraient déjà avoir été démarrés et être disponibles après l'Atelier pratique A. Toutefois, si ce n'est pas le cas, suivez la procédure ci-dessous, puis effectuez les exercices 1 à 3 de l'Atelier pratique A avant de continuer.

1. Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateur virtuel peut prendre plusieurs minutes.

2. Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans y ouvrir de session.

3. Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir de session.

4. Après le démarrage de HQDC03, démarrez 6238B-BRANCHDC01-B sans y ouvrir de session.

5. Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâche suivante.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 2 : configuration d'un serveur de catalogue global (CG) 1. Exécutez Sites et services Active Directory en tant qu'administrateur, avec le

nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Configurez HQDC02 pour agir en tant que serveur CG.

3. Confirmez que BRANCHDC01 est un serveur de catalogue global.

Résultats : au terme de cet exercice, vous aurez configuré HQDC02 pour qu'il soit un serveur de catalogue global et confirmé que BRANCHDC01 est déjà un serveur de catalogue global.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Configuration de la mise en cache des appartenances à un groupe universel Dans les sites sans serveur de catalogue global, la connexion des utilisateurs peut échouer si le contrôleur de domaine du site est incapable de contacter un serveur de catalogue global d'un autre site. Pour éviter que ce scénario ne se produise, vous pouvez configurer un site de sorte qu'il mette en cache l'appartenance aux groupes universels. Dans cet exercice, vous allez créer un site qui reflète le bureau d'une succursale et le configurer pour qu'il mette en cache l'appartenance à des groupes universels.


• configurer la mise en cache de l'appartenance au groupe universel.

Tâche 1 : Configuration de la mise en cache de l'appartenance aux groupes universels • Configurez les Paramètres du site NTDS de BRANCHA de sorte que les

contrôleurs de domaine mette en cache l'appartenance à des groupes universels.

Résultats : Au terme de cet exercice, vous aurez configuré des contrôleurs de domaine dans BRANCHA pour la mise en cache de l'appartenance aux groupes universels.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Examen du système DNS et des partitions de l'annuaire d'applications Dans cet exercice, vous allez explorer les enregistrements DNS relatifs à la réplication et à la partition de l'annuaire d'applications DomainDnsZone, à l'aide de l'Éditeur ADSI.


1. Vérifier les enregistrements DNS relatifs à la réplication.

2. Vérifier la partition DNS de l'annuaire d'applications.

Tâche 1 : Examen des enregistrements DNS relatifs à la réplication 1. Exécutez le Gestionnaire DNS en tant qu'administrateur avec le nom


2. Examinez les enregistrements SRV du domaine _tcp.HEADQUARTERS._sites.contoso.com

3. Examinez les enregistrements SRV du domaine _tcp.BRANCHA._sites.contoso.com.

Tâche 2 : Examen de la partition DNS de l'annuaire d'applications 1. Cliquez sur Démarrer > Outils administratifs >Éditeur ADSI et entrez des

informations d'identification d'administrateur lorsque le système vous les demande. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Éditeur ADSI, puis choisissez Connexion à.

3. Dans la liste déroulante Sélectionnez un contexte d'attribution de noms connu, sélectionnez Configuration.

4. Acceptez toutes les autres valeurs par défaut. Cliquez sur OK.

5. Dans l'arborescence de la console, cliquez sur Configuration, puis développez cet élément.

6. Dans l'arborescence de la console, cliquez sur CN=Configuration, DC=contoso, DC=com, puis développez cet élément.

7. Dans l'arborescence de la console, cliquez sur CN=Partitions.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


8. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.

9. Cliquez sur Sélectionnez ou entrez un nom unique ou un contexte d'attribution de noms.

10. Dans la zone de liste déroulante, tapez DC=DomainDnsZones,DC=contoso,DC=com. Cliquez sur OK.

11. Dans l'arborescence de la console, cliquez sur Contexte d'attribution de noms par défaut, puis développez cet élément.

12. Cliquez sur DC=DomainDnsZones,DC=contoso,DC=com, puis développez cet élément.

13. Cliquez sur CN=MicrosoftDNS, puis développez cet élément.

14. Cliquez sur DC=contoso.com.

15. Examinez les objets de ce conteneur. Comparez ces enregistrements aux enregistrements DNS que vous avez examinés dans l'exercice précédent.

Résultats : Au terme de cet exercice, vous aurez exploré les enregistrements DNS et la partition DNS de l'annuaire d'applications pour le domaine contoso.com.

Important : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce module.


Question : Décrivez la relation qui existe entre les enregistrements que vous avez affichés dans l'Éditeur ADSI et ceux affichés dans le Gestionnaire DNS.

Question : Quand vous avez examiné les enregistrements DNS du domaine _tcp.BRANCHA._sites.contoso.com, quel contrôleur de domaine inscrivait les enregistrements SRV dans le site ? Expliquez pourquoi.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 3 Configuration de la réplication

Dans la leçon 1, vous avez appris à créer des objets site et sous-réseau qui permettent à Active Directory et à ses clients de localiser l'accès à l'authentification et à l'annuaire. Vous aviez également choisi l'emplacement des contrôleurs de domaine. Dans la leçon 2, vous avez configuré des serveurs de catalogue global et des partitions de l'annuaire d'applications. Vous avez géré les éléments à répliquer entre les contrôleurs de domaine. Dans cette leçon, vous allez découvrir comment et quand la réplication a lieu. Vous découvrirez pourquoi la configuration par défaut d'Active Directory prend en charge une réplication efficace et pourquoi vous devez modifier cette configuration pour que la réplication soit encore plus efficace, en fonction de la topologie de votre réseau.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• créer des objets connexion pour configurer la réplication entre deux contrôleurs de domaine ;

• implémenter des liens de site et des coûts de liens de site pour gérer la réplication entre plusieurs sites ;

• désigner des serveurs tête de pont privilégiés ;

• comprendre la notification et l'interrogation ;

• générer des rapports et analyser la réplication avec la commande repadmin.exe ;

• vérifier le bon fonctionnement de la réplication Active Directory avec la commande dcdiag.exe.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement de la réplication Active Directory

Points clés Dans les leçons précédentes, vous avez appris à répartir les contrôleurs de domaine en différents emplacements du réseau et comment représenter ces emplacements par des objets site et sous-réseau. Vous avez également étudié la réplication des partitions de l'annuaire (schéma, configuration et domaine), le jeu d'attributs partiel (catalogue global) et les partitions d'application. Le principal concept à ne pas oublier concernant la réplication Active Directory est qu'elle est conçue pour, qu'en fin de compte, chaque réplica d'un contrôleur de domaine soit cohérent avec ceux de la partition hébergée par d'autres contrôleurs de domaine. Il est peu probable que tous les contrôleurs de domaine possèdent exactement les mêmes informations dans leurs réplicas à tout moment car le contenu de l'annuaire est constamment modifié. Toutefois, la réplication Active Directory garantit que toutes les modifications d'une partition seront transmises à tous les réplicas de cette partition. La réplication Active Directory recherche un équilibre entre la précision (ou intégrité) et la cohérence (on parle de convergence) et les performances (maintien du trafic de réplication à un niveau raisonnable). Ce numéro d'équilibriste est qualifié de faible interdépendance.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Voici les principales caractéristiques de la réplication Active Directory :

• Réplication multimaître : tout contrôleur de domaine peut déclencher et valider une modification dans Active Directory.

• Réplication par réception : tout contrôleur de domaine demande ou « reçoit » des modifications de la part d'autres contrôleurs de domaine. Au fur et à mesure de votre découverte de la réplication, vous risquez d'oublier ceci. En effet, un contrôleur de domaine notifie ses partenaires de réplication que des modifications de l'annuaire sont stockées chez lui. Ou un contrôleur de domaine peut interroger ses partenaires pour savoir s'ils stockent de nouvelles modifications de l'annuaire. Cependant, au final, les modifications elles-mêmes sont demandées ou « réceptionnées » par le contrôleur de domaine cible.

• Réplication différée : un contrôleur de domaine peut réceptionner des modifications en provenance d'un partenaire, puis les rendre disponibles pour un autre partenaire. Par exemple, le contrôleur de domaine B peut réceptionner des modifications déclenchées par le contrôleur de domaine A. Ensuite, le contrôleur de domaine C peut recevoir ces modifications du contrôleur de domaine B.

• Partitionnement du magasin de données : tous les contrôleurs d'un domaine hébergent uniquement le contexte des noms de ce domaine. Ceci permet de limiter au maximum le volume de la réplication, particulièrement dans les forêts à plusieurs domaines. D'autres données, dont les partitions de l'annuaire d'applications et le jeu d'attributs partiel (catalogue global), ne sont pas répliquées dans chacun des contrôleurs de domaine de la forêt, du moins dans la configuration par défaut.

• Génération automatique d'une topologie de réplication efficace et robuste : par défaut, Active Directory va configurer une topologie de réplication efficace et bidirectionnelle afin que la défaillance de l'un des contrôleurs de domaine ne perturbe pas la réplication. Cette topologie est automatiquement mise à jour lorsque des contrôleurs de domaine sont ajoutés, supprimés ou déplacés d'un site à l'autre.

• Réplication au niveau des attributs : lorsque qu'un attribut d'un objet est modifié, seul cet attribut est répliqué, ainsi que ses métadonnées minimales. La totalité de l'objet n'est pas répliquée, sauf en cas de création d'objet.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Différence de contrôle entre la réplication intrasite (au sein d'un seul site) et la réplications intersites (entre plusieurs sites) : la réplication peut être contrôlée différemment dans ces deux situations.

• Détection et gestion des collisions : il arrive parfois, mais rarement, qu'un attribut soit modifié dans deux contrôleurs de domaine différents au cours de la même fenêtre de réplication. Dans ce cas, les deux modifications devront être rapprochées. Active Directory possède des algorithmes de résolution spécialement conçus pour de telles situations.

Pour bien comprendre le fonctionnement de la réplication Active Directory, il suffit d'examiner chacun de ses composants. Les sections suivantes traitent les composants de la réplication Active Directory.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Réplication intrasite

Points clés Cette section inclut une discussion sur les points clés suivants :

• Objets connexion

• Vérificateur de cohérence des données (KCC)

• Réplication intrasite

• Notification

• Interrogation

Objets connexion

Un contrôleur de domaine réplique les modifications d'un autre contrôleur de domaine grâce aux objets connexion d'AD DS, couramment appelés objets connexion.

Les objets connexion apparaissent dans les outils administratifs du composant logiciel enfichable Sites et services Active Directory sous forme d'objets stockés dans le conteneur Paramètres NTDS de l'objet serveur d'un contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


La capture d'écran suivante présente un exemple : un objet connexion de SERVER02 configure la réplication de SERVER01 vers SERVER02. Tout objet connexion représente un chemin de réplication entre deux contrôleurs de domaine.

Les objets connexion sont unidirectionnels et représentent uniquement les réplications entrantes. Dans Active Directory, la réplication est toujours une technologie de réception. Dans le domaine illustré ci-dessus, SERVER02 reçoit les modifications de SERVER01. Dans cet exemple, SERVER02 est considéré comme un partenaire de réplication en aval de SERVER01. SERVER01 est le partenaire en amont. Les modifications de SERVER01 s'écoulent vers SERVER02.

Remarque : réplication imposée. Vous pouvez imposer la réplication entre deux contrôleurs de domaine en cliquant avec le bouton droit sur l'objet connexion et en choisissant Répliquer maintenant. N'oubliez pas que la réplication est uniquement entrante. Par conséquent, pour répliquer deux contrôleurs de domaine, vous devrez répliquer l'objet connexion entrant de chaque contrôleur de domaine.

Vérificateur de cohérence des données (KCC)

Les chemins de réplication établis entre des contrôleurs de domaine par des objets connexion créent la topologie de réplication de la forêt. Heureusement, vous n'avez pas à créer cette topologie manuellement. Par défaut, Active Directory crée une topologie qui garantit l'efficacité de la réplication. La topologie est bidirectionnelle. Ainsi, si un contrôleur de domaine échoue, la réplication se poursuit sans interruption. La topologie garantit également qu'il n'y aura pas plus de trois sauts entre deux contrôleurs de domaine, quels qu'ils soient.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Dans la capture d'écran précédente, vous remarquerez que l'objet connexion indique qu'il a été généré automatiquement. Dans chaque contrôleur de domaine, un composant d'Active Directory appelé Vérificateur de cohérence de connaissances (KCC, Knowledge Consistency Checker) facilite la création et l'optimisation de la réplication automatique entre les contrôleurs de domaine d'un site. Ce vérificateur KCC évalue les contrôleurs de domaine d'un site et crée les objets connexion nécessaires pour construire la topologie bidirectionnelle à trois sauts décrite précédemment. Si un contrôleur de domaine est ajouté à un site ou supprimé, ou si un contrôleur de domaine ne répond plus, le vérificateur KCC réorganise la topologie dynamiquement, en ajoutant et en supprimant des objets connexion pour reconstruire une topologie de réplication efficace.

Vous pouvez créer des objets connexion manuellement pour spécifier des chemins de réplication qui doivent perdurer. Les objets connexion créés manuellement ne sont jamais supprimés par le vérificateur KCC.

Pour créer un objet connexion :

1. Dans Sites et services Active Directory, localisez l'objet serveur du partenaire de réplication en aval, c'est-à-dire le contrôleur de domaine qui va recevoir les modifications d'un contrôleur de domaine source. Cliquez avec le bouton droit sur le conteneur Paramètres NTDS dans l'objet serveur, puis choisissez Nouvelle connexion aux services de domaine Active Directory.

2. Dans la boîte de dialogue Trouver des contrôleurs de domaine Active Directory, sélectionnez le partenaire de réplication en amont, puis cliquez sur OK.

3. Nommez le nouvel objet connexion, puis cliquez sur OK.

4. Ouvrez les propriétés de l'objet connexion. Utilisez le champ Description pour indiquer l'objectif de cet objet connexion créé manuellement.

Au sein d'un site, très peu de scénarios exigent la création d'un objet connexion. Parmi ces scénarios se trouvent les maîtres d'opérations de secours. Les maîtres d'opérations sont traités au Module 11. Il est recommandé de sélectionner des contrôleurs de domaine comme maîtres d'opérations de secours pour les utiliser en cas de transfert ou de captage du rôle de maître d'opérations. Tout maître d'opérations de secours doit être un partenaire de réplication direct pour le maître d'opérations actuel. Ainsi, si un contrôleur de domaine nommé DC01 est le maître RID et que le contrôleur de domaine DC02 est le système qui assumera le rôle de maître RID en cas de déconnexion de DC01, alors un objet connexion doit être créé dans DC02 afin que sa réplication s'effectue directement à partir de DC01.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Réplication intrasite

Après la création (automatique par le KCC ou manuelle) des objets connexion entre les contrôleurs de domaine d'un site, la réplication peut avoir lieu. La réplication intrasite implique la réplication des modifications au sein d'un seul site.

Notification

Examinons le site illustré dans la capture d'écran précédente. Lorsque SERVER01 effectue une modification dans une partition, il la met en file d'attente pour qu'elle soit répliquée vers ses partenaires. SERVER01 attend 15 secondes, par défaut, avant de notifier son premier partenaire de réplication, SERVER02, de la modification. La notification est le processus grâce auquel un partenaire en amont informe ses partenaires en aval qu'une modification est disponible. SERVER01 attend trois secondes, par défaut, entre les notifications envoyées à d'autres partenaires. Ces délais, appelés délai de notification initial et délai de notification consécutif, sont conçus pour étaler le trafic réseau inhérent à la réplication intrasite.

À la réception de la notification, le partenaire en aval, SERVER02, demande les modifications à SERVER01, et l'Agent de réplication d'annuaire (DRA) effectue le transfert de l'attribut entre SERVER01 et SERVER02. Dans cet exemple, SERVER01 a réalisé la modification initiale dans Active Directory. Il s'agit du contrôleur de domaine d'origine et la modification qu'il effectue est à l'origine de la modification. Lorsque SERVER02 reçoit la modification de SERVER01, il effectue à son tour la modification dans son annuaire. La modification n'est pas qualifiée de modification répliquée ; il s'agit néanmoins d'une modification. SERVER02 met la modification en file d'attente pour sa réplication dans ses propres partenaires en aval.

SERVER03 est un partenaire de réplication en aval de SERVER02. Après 15 secondes, SERVER02 notifie SERVER03 de la présence d'une modification. SERVER03 effectue la modification répliquée dans son annuaire, puis notifie ses partenaires en aval. La modification a nécessité deux sauts : de SERVER01 à SERVER02 et de SERVER02 à SERVER03. La topologie de réplication garantit qu'il n'y aura pas plus de trois sauts avant que tous les contrôleurs de domaine du site aient reçu la modification. Avec environ 15 secondes par saut, la modification sera entièrement répliquée dans le site en une minute.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Interrogation

Il est possible que SERVER01 n'effectue aucune modification dans ses réplicas pendant une période assez longue, particulièrement pendant les heures d'inactivité. Dans ce cas, SERVER02, son partenaire de réplication en aval, ne recevra aucune notification de SERVER01. Il est également possible que SERVER01 soit hors ligne, ce qui l'empêche d'envoyer des notifications à SERVER02. Il est donc important pour SERVER02 de savoir que son partenaire en amont est en ligne et n'a simplement aucune modification.

Pour obtenir ces informations, on utilise un processus appelé interrogation. L'interrogation implique que le partenaire en aval contacte son partenaire en amont en lui demandant si des modifications sont en attente de réplication. Par défaut, l'intervalle d'interrogation est d'une fois par heure pour la réplication intrasite. Il est possible, mais pas recommandé, de configurer la fréquence d'interrogation dans les propriétés d'un objet connexion en cliquant sur Modifier la planification.

Si un partenaire en amont ne parvient pas à répondre à des interrogations répétées, le partenaire en aval lance le vérificateur KCC pour vérifier la topologie de réplication. Si le serveur en amont est véritablement hors ligne, la topologie de réplication du site est reconstruite pour s'adapter à ce changement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Liens de site

Points clés Le vérificateur KCC suppose que, au sein d'un site, tous les contrôleurs de domaine peuvent communiquer entre eux. Il construit une topologie de réplication intrasite qui est indépendante de la connectivité réseau sous-jacente. Toutefois, entre les sites, vous pouvez représenter les chemins réseau sur lesquels la réplication doit se produire en créant des objets lien de site. Un lien de site contient deux sites ou plus. Le Générateur de topologie intersites (ISTG, InterSite Topology Generator), un composant du vérificateur KCC, construit des objets connexion entre les serveurs dans chacun des sites pour permettre la réplication intersites (entre les sites).

Ces liens de site sont mal connus. Il est important de ne pas oublier qu'un lien de site représente un chemin disponible pour la réplication. Un seul lien de site ne contrôle pas les itinéraires qui sont utilisés au sein du réseau. Lorsque vous créez un lien de site et que vous lui ajoutez des sites, vous indiquez à Active Directory qu'il peut procéder à la réplication entre tous les sites associés à ce lien de site. Le générateur ISTG va créer des objets connexion, et ces objets vont déterminer l'itinéraire réel de la réplication. Bien que la topologie de réplication construite par le générateur ISTG réplique efficacement Active Directory, elle peut être insuffisante selon la topologie de votre réseau.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Nous allons illustrer ce concept par un exemple. Lorsque vous créez une forêt, un objet lien de site est créé : DEFAULTIPSITELINK. Par défaut, chaque nouveau site ajouté est associé à l'objet DEFAULTIPSITELINK. Imaginons une entreprise avec un centre de données hébergé par son siège social et trois succursales. Les trois succursales sont toutes connectées au centre de données par une liaison dédiée. Vous créez des sites pour chaque succursale, Seattle (SEA), Amsterdam (AMS) et Pékin (PEK). La figure suivante illustre la topologie des sites et du réseau.

Les quatre sites étant sur le même lien de site, vous indiquez à Active Directory que ces quatre sites peuvent se répliquer mutuellement. Cela signifie qu'il est possible que Seattle réplique les modifications d'Amsterdam, qu'Amsterdam réplique les modifications de Pékin et que Pékin réplique les modifications du siège social qui, à son tour, réplique les modifications de Seattle. Dans plusieurs de ces itinéraires de réplication, le trafic réseau de la réplication circule d'une succursale vers le siège social sur sa route vers une autre succursale. Avec un seul lien de site, vous n'avez pas créé une topologie de réplication Hub and Spoke, même si la topologie de votre réseau est Hub and Spoke.

C'est pourquoi il est recommandé de créer manuellement des liens de site qui reflètent la topologie physique de votre réseau. Pour l'exemple précédent, vous créeriez trois liens de site :

• HQ-AMS, entre les sites Siège social et Amsterdam

• HQ-SEA, entre les sites Siège social et Seattle

• HQ-PEK, entre les sites Siège social et Pékin

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous pourriez alors supprimer le lien de site par défaut DEFAULTIPSITELINK. La figure suivante illustre la topologie obtenue.

Après la création de vos liens de site, le générateur ISTG utilisera cette topologie pour construire une topologie de réplication intersites qui connecte chaque site. Des objets connexion seront construits pour configurer les chemins de réplication intersites. Ces objets connexion sont créés automatiquement, mais vous pouvez les créer manuellement, car il existe quelques scénarios qui exigent la création manuelle d'objets connexion intersites.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Protocoles de transport de la réplication

Points clés Dans le composant logiciel enfichable Sites et services Active Directory, vous remarquerez que des liens de site sont stockés dans un conteneur nommé IP, qui est lui-même stocké dans le conteneur Transports inter-sites. Les modifications sont répliquées entre les contrôleurs de domaine à l'aide de l'un des deux protocoles suivants :

Directory Service Remote Procedure Call (DS-RPC)

DS-RPC apparaît dans le composant logiciel enfichable Sites et services Active Directory sous le nom IP. IP sert pour toutes les réplications intrasite et il s'agit du protocole par défaut et privilégié pour la réplication intersites.

Inter-Site Messaging—Simple Mail Transport Protocol (ISM-SMTP)

Mieux connu sous le nom SMTP, ce protocole est utilisé uniquement lorsque les connexions réseau entre les sites ne sont pas fiables ou pas toujours disponibles.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


En général, vous pouvez supposer que vous utiliserez IP pour toute la réplication intersites. Très peu d'entreprises utilisent SMTP pour la réplication du fait de la surcharge administrative requise pour configurer et gérer une autorité de certification (CA) et car la réplication SMTP n'est pas prise en charge pour le contexte des noms de domaine. Cela signifie que, si un site utilise SMTP pour répliquer les modifications dans le reste de l'entreprise, ce site doit être son propre domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Serveurs tête de pont

Points clés Le générateur ISTG crée une topologie de réplication entre les sites sur un lien de site. Pour améliorer l'efficacité de la réplication, un contrôleur de domaine est sélectionné pour être le serveur tête de pont. Le serveur tête de pont est chargé de toute la réplication interne et externe au site pour une partition. Par exemple, si un site de centre de données contient cinq contrôleurs de domaine, l'un d'eux sera le serveur tête de pont pour le contexte des noms de domaine. Toutes les modifications effectuées à la partition du domaine au sein du centre de données seront répliquées dans tous les contrôleurs de domaine du site. Lorsque les modifications atteignent le serveur tête de pont, elles sont répliquées dans les serveurs tête de pont des succursales, qui à leur tour les répliquent dans les contrôleurs de domaine de leurs sites. De même, toutes les modifications du contexte des noms de domaine dans les succursales seront répliquées à partir des serveurs tête de pont de ces succursales dans le serveur tête de pont du centre de données, qui à son tour réplique ces modifications dans les autres contrôleurs de domaine du centre de données. La figure suivante illustre la réplication intrasite au sein de deux sites et la réplication intersites utilisant des objets connexion entre les serveurs tête de pont des sites.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour résumer, le serveur tête de pont est chargé de répliquer les modifications d'une partition à partir des autres serveurs tête de pont dans d'autres sites. Il est également interrogé par les serveurs tête de pont des autres sites pour savoir quand des modifications doivent être répliquées par eux.

Les serveurs tête de pont sont sélectionnés automatiquement, et le générateur ISTG crée la topologie de réplication intersites pour garantir que les modifications sont bien répliquées entre les serveurs tête de pont qui partagent un lien de site. Les serveurs tête de pont sont sélectionnés par partition. Il est donc possible qu'un contrôleur de domaine d'un site soit le serveur tête de pont du schéma et qu'un autre soit celui de la configuration. Toutefois, vous découvrirez généralement qu'un contrôleur de domaine est le serveur tête de pont de toutes les partitions d'un site, à moins qu'il existe des contrôleurs de domaine d'autres domaines ou des partitions de l'annuaire d'applications. Auquel cas, des serveurs tête de pont seront choisis pour ces partitions.

Serveurs tête de pont privilégiés

Vous pouvez également désigner un ou plusieurs serveurs tête de pont privilégiés.

Pour désigner un contrôleur de domaine comme serveur tête de pont privilégié :

1. Ouvrez les propriétés de l'objet serveur concerné dans le composant logiciel enfichable Sites et services Active Directory.

2. Sélectionnez le protocole de transport, qui sera presque toujours IP, puis cliquez sur Ajouter.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous pouvez configurer plusieurs serveurs tête de pont privilégiés pour un site, mais un seul sera sélectionné et utilisé en tant que tête de pont. Si ce serveur tête de pont est défaillant, l'un des autres serveurs tête de pont privilégiés sera utilisé.

Il est important de savoir que, si vous avez spécifié un ou plusieurs serveurs tête de pont et qu'aucun d'eux n'est disponible, aucun autre serveur n'est sélectionné automatiquement, et la réplication n'a pas lieu pour ce site, même s'il y a des serveurs pouvant jouer le rôle de tête de pont. Idéalement, vous ne devriez pas configurer de serveurs tête de pont privilégiés. Toutefois, pour des problèmes de performance, vous pouvez être amené à attribuer le rôle de tête de pont aux contrôleurs de domaine disposant des meilleures ressources système. Les problèmes de pare-feu peuvent également exiger qu'un seul serveur joue le rôle de tête de pont, au lieu de laisser Active Directory sélectionner et peut-être réaffecter des serveurs tête de pont au fur et à mesure.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Transitivité et ponts de liens de site

Points clés Après que vous ayez créé les liens de site et que le générateur ISTG ait généré les objets connexion pour répliquer les partitions entre les serveurs tête de pont qui partagent un lien de site, votre travail est terminé. Dans de nombreux environnements, particulièrement ceux dont les topologies réseau sont très directes, les liens de site doivent suffire pour gérer la réplication intersites. Dans les réseaux plus complexes, toutefois, vous pouvez configurer des composants et des propriétés supplémentaires pour la réplication.

Transitivité des liens de site

Par défaut, les liens de site sont transitifs. Cela signifie que, pour reprendre notre exemple, si les sites Amsterdam et Headquarters (siège social) sont reliés, et que les sites Headquarters et Seattle sont reliés, alors Amsterdam et Seattle sont reliés transitivement. En théorie, cela signifie que le générateur ISTG pourrait créer un objet connexion directement entre une tête de pont à Seattle et une tête de pont à Amsterdam. On retrouve ici la topologie de réplication Hub and Spoke.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous pouvez désactiver la transitivité des liens de site en ouvrant les propriétés du Transport IP dans le conteneur Transports inter-sites et en désactivant Relier tous les liens de sites. Avant de procéder ainsi dans un environnement de production, prenez le temps de lire les ressources techniques sur la réplication, fournies par la Bibliothèque technique Windows Server sur le site Microsoft TechNet à l'adresse http://technet.microsoft.com.

Ponts entre liens de site

Un pont de liaison de sites connecte deux liens de sites ou plus de manière à créer un lien transitif. Les ponts entre liens de site ne sont nécessaires que lorsque vous avez désactivé l'option Relier tous les liens de sites pour le protocole de transport. N'oubliez pas que la transitivité des liens de site est activée par défaut, auquel cas, les ponts de liens de site n'auront aucun effet.

La figure suivante illustre l'utilisation d'un pont de liens de site dans une forêt dans laquelle cette transitivité a été désactivée. En créant un pont entre les liens de site, AMS-HQ-SEA, qui inclut les liens HQ-AMS et HQ-SEA, ces deux liens de site deviennent transitifs. Ainsi, une connexion de réplication peut être établie entre un contrôleur de domaine à Amsterdam et un autre à Seattle.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Contrôle de la réplication intersites

Points clés Les ponts clés de cette section comprennent les éléments suivants :

• Coûts de liaison entre sites

• Fréquence de réplication

• Planifications de la réplication

Coûts de liaison entre sites

Les coûts de liaison entre sites servent à gérer le flux du trafic de réplication lorsque celui-ci comprend plusieurs itinéraires. Vous pouvez configurer le coût des liaisons entre sites pour indiquer qu'un lien est plus rapide, plus fiable ou privilégié. Les coûts les plus élevés sont utilisés pour les liaisons lentes, et les moins élevés sont réservés aux liaisons rapides. Active Directory effectue la réplication à l'aide de la connexion présentant le coût le moins élevé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Par défaut, tous les liens de site sont configurés avec un coût de 100. Pour modifier le coût d'un lien de site, ouvrez les propriétés de ce dernier et changez la valeur dans la zone de sélection numérique Coût, illustrée dans la capture d'écran suivante.

Pour reprendre notre exemple précédent, imaginons qu'un lien de site a été créé entre les sites Amsterdam et Pékin, comme dans la figure suivante.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Un tel lien de site pourrait être configuré pour autoriser la réplication entre les contrôleurs de domaine de ces deux sites au cas où les liaisons avec le siège social deviennent indisponibles. Vous pourriez configurer une telle topologie dans le cadre d'un plan de récupération d'urgence, par exemple.

Avec le coût de lien de site par défaut de 100 attribué au lien AMS-PEK, Active Directory répliquera les modifications directement entre Amsterdam et Pékin. Si vous configurez le coût sur 300, les modifications seront répliquées entre Amsterdam et le siège social, puis entre le siège social et Pékin pour un coût de 200, au lieu de passer directement par AMS-PEK pour un coût de 300.

Fréquence de réplication

La réplication intersites repose uniquement sur l'interrogation ; il n'y a aucune notification. Par défaut, toutes les trois heures, un serveur tête de pont interroge ses partenaires de réplication en amont pour savoir si des modifications sont disponibles. Cet intervalle de réplication est trop long pour les entreprises qui souhaitent que les modifications de leur annuaire soient répliquées plus rapidement. Vous pouvez modifier l'intervalle d'interrogation pour chaque lien de site.

Pour changer l'intervalle d'interrogation d'un lien de site :

• Ouvrez les propriétés du lien de site et modifiez la valeur dans la zone de sélection numérique Réplication toutes les, illustrée dans la capture d'écran précédente.

L'intervalle minimum d'interrogation est 15 minutes. Cela signifie que, avec la configuration par défaut de la réplication Active Directory, une modification de l'annuaire effectuée dans un site ne sera pas répliquée dans les contrôleurs de domaine d'un autre site avant plusieurs minutes.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Planifications de la réplication

Par défaut, la réplication a lieu 24 heures par jour. Toutefois, vous pouvez limiter la réplication intersites à des heures spécifiques en modifiant les attributs de la planification d'un lien de site. Ouvrez les propriétés d'un lien de site et cliquez sur le bouton Modifier la planification. Dans la boîte de dialogue Programmer à, illustrée dans la capture d'écran suivante, vous pouvez sélectionner les heures durant lesquelles le lien est disponible pour la réplication. Le lien illustré dans la figure ne réplique pas de 08 h 00 à 18 h 00, du lundi au vendredi.

Vous devez planifier soigneusement la disponibilité des liens de site. Il est possible de planifier des fenêtres de disponibilité qui ne se chevauchent pas, auquel cas, la réplication n'a pas lieu. Il n'est généralement pas recommandé de configurer la disponibilité des liens. Si vous n'avez pas besoin de planifier les liens, vous devriez sélectionner l'option Ignorer les planifications dans les propriétés du protocole de transport IP. Cette option provoque le contournement des planifications de la disponibilité des liens de site, assurant une réplication constante (24 heures sur 24) pour tous les liens de site.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Surveillance et gestion de la réplication

Points clés Après avoir implémenté la configuration de votre réplication, vous devez pouvoir surveiller son fonctionnement à des fins d'assistance continue, d'optimisation et de résolution des problèmes. Deux outils sont particulièrement utiles pour générer des rapports et analyser la réplication : l'Outil de diagnostic de la réplication (Repadmin.exe) et Diagnostic du serveur d'annuaire (Dcdiag.exe). Cette leçon vous présente ces puissants outils.

Repadmin.exe

L'Outil de diagnostic de la réplication, Repadmin.exe, est un outil de ligne de commande qui vous permet de connaître l'état de la réplication dans chaque contrôleur de domaine. Les informations fournies par Repadmin.exe peuvent vous aider à détecter un problème potentiel avant qu'il ne soit hors de contrôle et à résoudre les problèmes de la réplication dans votre forêt. Vous pouvez afficher plusieurs niveaux de détails, jusqu'aux métadonnées de la réplication pour des objets et des attributs spécifiques. Ceci vous permet de savoir où et quand une modification problématique a eu lieu dans Active Directory. Vous pouvez même exploiter l'outil Repadmin.exe pour créer votre topologie de réplication et imposer la réplication entre des contrôleurs de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Comme pour les autres outils de ligne de commande, tapez repadmin /? pour afficher des informations sur le fonctionnement de cet outil. Sa syntaxe de base est la suivante :

repadmin arguments de la commande...

L'outil Repadmin.exe prend en charge un certain nombre de commandes qui exécutent des tâches spécifiques. Pour en savoir plus sur chaque commande, tapez repadmin /?:commande. La plupart des commandes exigent des arguments. De nombreuses commandes acceptent un paramètre DSA_LIST, qui est simplement l'étiquette réseau (nom DNS ou NetBIOS ou adresse IP) d'un contrôleur de domaine. Voici certaines des tâches de surveillance de la réplication que vous pouvez effectuer avec l'outil Repadmin :

• Afficher les partenaires de réplication d'un contrôleur de domaine : pour ce faire, tapez repadmin /showrepl DSA_LIST. Par défaut, Repadmin.exe affiche uniquement les connexions intersites. Pour afficher également les connexions intrasite, ajoutez l'argument /repsto.

• Afficher les objets connexion d'un contrôleur de domaine : pour ce faire, tapez repadmin /showconn DSA_LIST.

• Afficher les métadonnées d'un objet, ses attributs et la réplication : vous pouvez en apprendre beaucoup sur la réplication en examinant un objet dans deux contrôleurs de domaine différents pour savoir quels attributs ont été répliqués ou non. Tapez repadmin /showobjmeta DSA_LIST Objet, oùDSA_LIST désigne le ou les contrôleurs de domaine à interroger (vous pouvez utiliser un astérisque [*] pour englober tous les contrôleurs de domaine). Objet est l'identifiant unique de l'objet, par exemple son nom unique ou son GUID.

Repadmin vous permet également de modifier votre infrastructure de réplication. Voici certaines des tâches de gestion que vous pouvez effectuer :

• Lancer le vérificateur KCC : tapez repadmin /kcc pour obliger le vérificateur KCC à recalculer la topologie de réplication entrante pour le serveur.

• Imposer la réplication entre deux partenaires : utilisez Repadmin pour imposer la réplication d'une partition entre deux contrôleurs de domaine, l'un étant la source et l'autre la cible. Tapez repadmin /replicate DSA_LIST_Cible Contexte_Noms_DSA_Source.

• Synchroniser un contrôleur de domaine avec tous ses partenaires de réplication : tapez repadmin /syncall DSA /A /e pour synchroniser un contrôleur de domaine avec tous ses partenaires, y compris ceux des autres sites.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Dcdiag.exe

L'outil Diagnostic du serveur d'annuaire, Dcdiag.exe, effectue certains tests et vous renseigne sur le bon fonctionnement de la réplication et de la sécurité dans AD DS. Utilisé tout seul, dcdiag.exe effectue des tests de synthèse et affiche les résultats. À l'inverse, dcdiag.exe /c effectue pratiquement tous les tests. Le résultat des tests peut être envoyé dans des fichiers de divers types, y compris XML. Tapez dcdiag /? pour afficher les instructions complètes.

Vous pouvez également spécifier un ou plusieurs tests à exécuter à l'aide du paramètre /test:Nom Test. Les tests concernant directement la réplication comprennent :

• FrsEvent : signale toute erreur de fonctionnement dans le système de réplication de fichiers (FRS).

• DFSREvent : signale toute erreur de fonctionnement dans le système de réplication DFS (DFSR).

• Intersite : vérifie la présence de défaillances susceptibles d'empêcher ou de retarder la réplication intersites.

• KccEvent : identifie les erreurs du vérificateur KCC.

• Replications : vérifie la rapidité de la réplication entre les contrôleurs de domaine.

• Topology : vérifie que la topologie de réplication est parfaitement connectée pour tous les contrôleurs de domaine.

• VerifyReplicas : vérifie que toutes les partitions de l'annuaire d'applications sont entièrement instanciées dans tous les contrôleurs de domaine qui hébergent des réplicas.

Pour plus d'informations sur les outils Repadmin.exe et Dcdiag.exe, consultez le Centre d'aide et de support Microsoft.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique C : Configuration de la réplication

Scénario Vous êtes l'administrateur de Contoso, Ltd. Vous souhaitez optimiser la réplication d'AD DS en l'alignant sur la topologie de votre réseau et sur les rôles de contrôleur de domaine et leur emplacement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Création d'un objet connexion Il est recommandé de configurer une réplication directe entre le contrôleur de domaine qui jouera le rôle de maître d'opérations de secours et le contrôleur de domaine qui est actuellement le maître d'opérations. Par la suite, si le maître d'opérations actuel doit être déconnecté, le maître d'opérations de secours sera aussi à jour que possible avec le maître d'opérations. Dans cet exercice, vous allez créer un objet connexion entre HQDC01 et HQDC02, où HQDC02, le maître d'opérations de secours, réplique à partir de HQDC01, le maître d'opérations actuel.



2. Créer un objet connexion.

Tâche 1 : Démarrage des ordinateurs virtuels et ouverture d'une session Les ordinateurs virtuels devraient déjà avoir été démarrés et être disponibles après les Ateliers pratiques A et B. Toutefois, si ce n'est pas le cas, suivez la procédure ci-dessous, puis effectuez les exercices 1 à 3 des Ateliers pratiques A et B avant de continuer.

• Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateur virtuel peut prendre plusieurs minutes.

• Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans y ouvrir de session.

• Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir de session.

• Après le démarrage de HQDC03, démarrez BRANCHDC01-B sans y ouvrir de session.

• Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâche suivante.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 2 : Création d'un objet connexion • Exécutez Sites et services Active Directory avec des informations

d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Dans l'arborescence de la console, développez HEADQUARTERS, Servers et HQDC02, puis cliquez sur le nœud NTDS Settings sous HQDC02.

• Cliquez avec le bouton droit sur NTDS Settings et choisissez Nouvelle connexion aux services de domaine Active Directory.

• Dans la boîte de dialogue Trouver des contrôleurs de domaine Active Directory, sélectionnez HQDC01, puis cliquez sur OK, et répondez Oui au message d'avertissement.

• Dans la boîte de dialogue Nouvel objet – Connexion, tapez le nom HQDC01 - OPERATIONS MASTER, puis cliquez sur OK.

Résultats : Au terme de cet exercice, vous aurez créé un objet connexion pour répliquer les modifications de HQDC01 vers HQDC02.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Création de liens de site Dans cet exercice, vous allez créer des liens entre le site du siège social et les autres sites, pour obtenir une topologie de réplication Hub and Spoke.


• Créer des liens de site.

Tâche 1 : Création de liens de site • Renommez le lien DEFAULTIPSITELINK en HQ-HQB2, et modifiez-le de

sorte qu'il comprenne uniquement les sites HEADQUARTERS et HQ-BUILDING-2.

• Créez un nouveau lien de site IP nommé HQ-BRANCHA qui comprend les sites HEADQUARTERS et BRANCHA.

Résultats : Au terme de cet exercice, vous devriez avoir deux liens de site un qui relie les sites HEADQUARTERS et HQ-BUILDING-2, et un autre qui relie le sites HEADQUARTERS et BRANCHA.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Déplacement de contrôleurs de domaine vers des sites Lorsque vous affectez un nouveau contrôleur de domaine, vous pouvez sélectionner son site, mais, par défaut, il sera placé dans le site associé à son adresse IP. Si vous modifiez des sites et des sous-réseaux après la mise en place des contrôleurs de domaine, vous devez déplacer les contrôleurs de domaine existants dans les sites qui conviennent. Dans cet exercice, vous allez déplacer des contrôleurs de domaine dans les sites que vous avez créés au cours des ateliers de ce module.


• Déplacer les contrôleurs de domaine vers de nouveaux sites.

Tâche 1 : Déplacement de contrôleurs de domaine vers de nouveaux sites • Déplacez BRANCHDC01 dans le site BRANCHA.

Résultats : Au terme de cet exercice, vous devriez avoir déplacé BRANCHDC01 dans le site BRANCHA.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 4 : Désignation d'un serveur tête de pont privilégié Vous pouvez désigner un serveur tête de pont privilégié qui gérera la réplication depuis et vers son site. Ceci s'avère pratique lorsque vous souhaitez attribuer ce rôle à un contrôleur de domaine dans un site qui dispose de meilleures ressources système ou lorsque des problèmes de pare-feu exigent que ce rôle soit attribué à un seul système fixe. Dans cet exercice, vous allez désigner un serveur tête de pont privilégié pour le site.


• Désigner un serveur tête de pont privilégié.

Tâche 1 : Désignation d'un serveur tête de pont privilégié • Configurez HQDC02 en tant que serveur tête de pont privilégié. Après cette

opération, un long message d'avertissement s'affiche. Lisez ce message. Nous en parlerons à la fin de cet atelier. Cliquez ensuite sur OK.

Résultats : Au terme de cet exercice, vous aurez désigné HQDC02 comme serveur tête de pont privilégié.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 5 : Configuration de la réplication intersites Après avoir créé des liens de site et, éventuellement, désigné des serveurs tête de pont, vous pouvez affiner et contrôler votre réplication en configurant les propriétés des liens de site. Dans cet exercice, vous allez réduire l'intervalle d'interrogation de la réplication intersites et augmenter le coût d'un lien de site.


• Configurer la réplication intersites.

Tâche 1 : Configuration de la réplication intersites • Configurez l'intervalle de réplication du lien de site HQ-HQB2 sur 15 minutes.

• Configurez l'intervalle de réplication du lien de site HQ-BRANCHA sur 15 minutes, et le coût sur 200.

• Examinez la planification de la réplication du lien de site HQ-BRANCHA. Testez la configuration de la planification avec plusieurs valeurs, mais cliquez sur Annuler lorsque vous avez terminé.

Résultats : Au terme de cet exercice, vous devriez avoir configuré l'intervalle de la réplication intersites sur 15 minutes pour tous les liens de site.


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



Question : Expliquez la signification du message d'avertissement qui s'est affiché lorsque vous avez désigné HQDC02 comme serveur tête de pont privilégié.

Question : Quels sont les avantages de la réduction de l'intervalle de la réplication intersites ? Quels en sont les inconvénients ?

Question : La topologie de réplication Hub and Spoke garantit que toutes les modifications des succursales seront répliquées d'abord dans le site du siège social avant de l'être dans les autres succursales. La procédure que vous avez exécutée dans l'Exercice 2 est-elle suffisante pour créer une topologie de réplication Hub and Spoke ? Si elle est insuffisante, que manque-t-il encore ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT

Continuité du service d'annuaire 13-1

Module 13 Continuité du service d'annuaire

Table des matières : Leçon 1 : Surveillance d'Active Directory 13-4

Atelier pratique A : Surveillance des événements et des performances d'Active Directory 13-29

Leçon 2 : Gestion de la base de données Active Directory 13-48

Atelier pratique B : Gestion de la base de données Active Directory 13-66

Leçon 3 : Sauvegarde et restauration des services AD DS et des contrôleurs de domaine 13-74

Atelier pratique C : Sauvegarde et restauration d'Active Directory 13-89

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



En tant que professionnel de l'informatique chargé de gérer Windows Server 2008 et AD DS, la réussite de votre carrière est étroitement liée au bon fonctionnement de votre domaine. Si le domaine sombre, il en va de même de votre carrière. Dans ce module, vous allez découvrir les technologies et les outils qui vous aideront à assurer le bon fonctionnement et la longévité du service d'annuaire. Vous allez apprendre à exploiter certains outils pour surveiller les performances en temps réel et à enregistrer au fur et à mesure ces performances dans un journal pour garder un œil sur les tendances et déceler les problèmes potentiels. Vous apprendrez également à optimiser et à protéger votre service d'annuaire de manière à rétablir aussi rapidement que possible tout contrôleur de domaine défaillant.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• contrôler les performances et les événements en temps réel avec le Gestionnaire des tâches, l'Observateur d'événements et le Moniteur de fiabilité et de performances Windows ;

• tirer parti des nouvelles fonctionnalités de l'Observateur d'événements de Windows Server 2008, notamment des vues personnalisées et des abonnements aux événements ;

• contrôler les performances en temps réel et enregistrées avec l'Analyseur de performances, des jeux d'éléments de collecte de données et des rapports ;

• identifier les sources d'informations relatives aux performances et aux événements des contrôleurs de domaine AD DS ;

• créer des alertes en fonction d'événements et de mesures de performances ;

• gérer et optimiser la base de données Active Directory ;

• sauvegarder et restaurer AD DS et les contrôleurs de domaine ;

• restaurer les objets et les attributs supprimés.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 1 Surveillance d'Active Directory

Les problèmes de performances sont une réalité. Le plus important est la façon dont vous y répondez, comment vous les évaluez et comment vous les corrigez. Dans cette leçon, vous allez apprendre à exploiter les outils de surveillance des performances et des événements de Windows Server 2008 pour contrôler de façon réactive et proactive le bon fonctionnement de vos contrôleurs de domaine et d'AD DS.


• surveiller les performances en temps réel avec le Gestionnaire des tâches, le Moniteur de ressources et l'Analyseur de performances ;

• examiner les événements et les modifications avec le Moniteur de fiabilité et l'Observateur d'événements ;

• tirer parti des nouvelles fonctionnalités de l'Observateur d'événements de Windows Server 2008, notamment des vues personnalisées et des abonnements aux événements ;

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• contrôler les performances en temps réel et enregistrées avec l'Analyseur de performances, des jeux d'éléments de collecte de données et des rapports ;

• identifier les sources d'informations relatives aux performances et aux événements des contrôleurs de domaine AD DS ;

• créer des alertes en fonction d'événements et de mesures de performances.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement des performances et des engorgements

Points clés Les performances médiocres d'un système sont généralement imputables à des ressources système insuffisantes. Les quatre principales ressources système sont le processeur, le sous-système de disque, la mémoire et le réseau.

Pour identifier et corriger les engorgements, vous devez étudier avec soin les journaux système et les compteurs de performances afin de détecter les ressources actuellement limitées. Après l'augmentation de ces ressources, les performances s'améliorent généralement, puis atteignent un plafond lorsqu'elles se heurtent à un nouvel engorgement dû à la surcharge d'autres ressources système.

Dans cette leçon, vous allez étudier les différents outils qui vous permettront de surveiller les performances en temps réel et d'examiner les modifications et les événements du système susceptibles d'avoir entraîné une dégradation progressive des performances.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Gestionnaire des tâches

Points clés Tout professionnel de l'informatique se doit de connaître le Gestionnaire des tâches de Windows. Windows Server 2008 a considérablement amélioré les capacités du Gestionnaire des tâches. Outre les onglets habituels Applications et Processus, Windows Server 2008 propose des informations détaillées sur les services et une vue générale des performances de trois ressources système : le processeur, le réseau et la mémoire. Le Gestionnaire des tâches n'expose pas de compteur de performances en temps réel pour les disques. Enfin, le Gestionnaire des tâches permet d'obtenir la liste des utilisateurs actuellement connectés, sans qu'il soit nécessaire d'ouvrir le composant logiciel enfichable de gestion des services Terminal Server.

Pour ouvrir le Gestionnaire des tâches, effectuez l'une des étapes suivantes :

• Appuyez sur Ctrl+Maj+Échap.

• Appuyez sur Ctrl+Alt+Suppr et cliquez sur le Gestionnaire des tâches.

• Cliquez du bouton droit dans la barre des tâches et choisissez Gestionnaire des tâches.

• Cliquez sur le bouton Démarrer et tapez taskmgr.exe dans la zone de texte Rechercher.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Dans l'onglet Processus, vous pouvez cliquer sur Afficher les processus de tous les utilisateurs pour obtenir des informations détaillées sur les processus qui s'exécutent dans le contexte du système ou dans d'autres contextes utilisateur.

Dans l'onglet Performances, cliquez sur Moniteur de ressources pour ouvrir la nouvelle vue des performances en temps réel.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Moniteur de ressources

Points clés Le Moniteur de ressources est semblable au Gestionnaire des tâches, en bien mieux. Il propose une vue détaillée des performances de chacun des composants clés du système (processeur, disque, réseau et mémoire) sous forme graphique ou dans un rapport détaillé. Lorsque vous devez résoudre des problèmes de performance en temps réel, ou comprendre la raison pour laquelle un système s'exécute lentement, le Moniteur de ressources est le premier outil vers lequel vous devez vous tourner.

Pour ouvrir le Moniteur de ressources, effectuez l'une des étapes suivantes :

• Ouvrez le Gestionnaire des tâches, cliquez sur l'onglet Performances, puis sur Moniteur de ressources.

• Cliquez sur le bouton Démarrer, tapez perfmon /res dans le champ Rechercher, puis appuyez sur Entrée.

• Cliquez sur la racine du composant logiciel enfichable Analyseur de fiabilité et de performances Windows.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Observateur d'événements

Points clés Lors du développement de Windows Server 2008, Microsoft® a entièrement réécrit l'Observateur d'événements. En arrière-plan, les événements sont stockés dans un nouveau format de fichier journal d'événements (.elf). Les événements sont présentés dans les journaux classiques de Windows tels que Application, Sécurité et Système, et dans des douzaines de nouveaux blogs dédiés à la surveillance des événements liés à des composants système spécifiques.

Pour simplifier votre compréhension de ces nouveaux événements et journaux, l'Observateur d'événements propose des vues récapitulatives qui cumulent les événements de plusieurs journaux. Il vous permet également de réunir les événements de plusieurs journaux dans des vues personnalisées. Si vous ouvrez le Gestionnaire de services, vous verrez également que les événements propres aux rôles sont présentés dans la page d'accueil de chaque rôle.

Les événements eux-mêmes ont également été améliorés. Ils fournissent bien plus de détails que par le passé, et vous remarquerez qu'il vous arrivera bien moins souvent de vous interroger sur la signification réelle d'un événement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Mieux encore peut-être, le sous-système d'événements a été intégré à d'autres composants Windows. À présent, grâce à intégration au Planificateur de tâches, vous pouvez déclencher une action sur la base d'un événement spécifique. Cette action peut inclure l'envoi d'un message électronique. C'est vrai : Windows peut à présent vous envoyer une alerte électronique (et éventuellement une page ou un message texte) en cas de problème. Vous pouvez également déclencher un script spécifique ou un fichier exécutable en réponse à un événement, par exemple, un script qui redémarre un service lorsque celui-ci s'arrête.

La Gestion à distance de Windows (WinRM), ensemble de services Web qui permet de gérer les systèmes Windows, est un autre composant majeur à présent intégré au sous-système d'événements. Cette intégration vous permet de réunir les événements de plusieurs ordinateurs en un seul emplacement, en vous abonnant aux événements survenus dans des systèmes distants. Lorsqu'un système distant enregistre un événement qui correspond à vos critères, cet événement est transmis à un journal stocké dans l'ordinateur chargé de la collecte.

Lectures complémentaires • Observateur d'événements


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Observateur d'événements

Points clés Dans cette démonstration, votre instructeur va vous présenter certaines des fonctionnalités de l'Observateur d'événements décrites dans la diapositive précédente. Il en profitera pour vous donner quelques conseils supplémentaires et pour s'assurer que l'Observateur d'événements n'a plus de secrets pour vous.

Vous aurez la possibilité de mettre ces tâches en pratique dans l'atelier associé à ce module.

Votre instructeur vous fera également remarquer les quatre journaux particulièrement importants pour la surveillance des contrôleurs de domaine :

• Service d'annuaire

• DNS

• DFSR

• Journal opérationnel de la stratégie de groupe

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Étapes de la démonstration 1. Ouvrez l'Observateur d'événements et examinez la nouvelle apparence de la

console MMC (Microsoft® Management Console).

2. Remarquez la vue résumée par défaut, puis développez les vues personnalisées et affichez les vues personnalisées par défaut.

3. Développez les Journaux Windows et affichez les journaux traditionnels et les nouveaux.

4. Ouvrez l'un des journaux et examinez les options disponibles dans le volet Actions.

Remarquez également qu'il est possible de relier une tâche à un événement à l'aide de l'Assistant Créer une tâche de base.

Il est également possible de copier les détails d'un événement sous forme de texte dans le Bloc-notes.

5. Double-cliquez sur un événement pour afficher ses détails.

6. Développez le dossier Microsoft Windows pour afficher les journaux.

7. Vous pouvez également vous connecter à un autre ordinateur.

Rappel : la gestion des journaux d'événements à distance doit être activée dans le pare-feu de l'ordinateur distant. L'utilisation du pare-feu fait partie du prochain atelier de cette leçon.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vues personnalisées

Points clés Les vues personnalisées sont des filtres qui sont nommés et enregistrés. Une fois la vue personnalisée créée et enregistrée, vous êtes en mesure de la réutiliser sans avoir à recréer son filtre sous-jacent. Pour réutiliser une vue personnalisée, accédez à la catégorie Vues personnalisées dans l'arborescence de la console et sélectionnez le nom de la vue concernée. Ainsi, vous appliquez le filtre qui lui est associé et les résultats sont affichés. Vous pouvez importer et exporter les vues personnalisées, ce qui vous permet de les partager entre des utilisateurs et des ordinateurs.

Lectures complémentaires • Création et gestion des vues personnalisées


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Abonnements

Points clés Le composant logiciel enfichable Observateur d'événements vous permet de vous connecter à un ordinateur distant pour examiner ses journaux d'événements. Toutefois, résoudre efficacement un problème peut impliquer d'examiner les événements stockés dans plusieurs ordinateurs.

Sous Windows Server 2008, l'Observateur d'événements vous permet de vous abonner à des événements spécifiques sur un ou plusieurs ordinateurs distants, de collecter ces événements et de les stocker localement. Après la création d'un abonnement à un événement, les événements sont transmis des ordinateurs source vers l'ordinateur chargé de la collecte, sur lequel il est alors possible d'afficher et de manipuler les événements comme s'il s'agissait d'événements locaux.

Lectures complémentaires • Abonnements aux événements


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Configuration des vues personnalisées et des abonnements

Points clés Dans cette démonstration, votre instructeur va vous présenter certaines des fonctionnalités des Vues personnalisées et des Abonnements aux événements décrits dans la diapositive précédente. Il en profitera pour vous donner quelques conseils supplémentaires et pour vérifier que ces fonctionnalités n'ont plus de secret pour vous.

Vous aurez la possibilité de mettre vous-même ces tâches en pratique dans l'atelier associé à ce module.

Étapes de la démonstration Création d'une vue personnalisée

1. Nous allons créer une nouvelle vue personnalisée qui capture les événements d'erreur issus de journaux Active Directory spécifiques.

2. Nous exporterons ensuite la vue dans un fichier XML.

3. Nous supprimerons la vue personnalisée d'origine, puis importerons le fichier XML.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Création d'un abonnement

1. Pour cette opération, nous devons vérifier que nous sommes bien connectés à l'ensemble des ordinateurs source et collecteur en tant qu'administrateur.

2. Dans chaque ordinateur source, tapez winrm quickconfig avec une invite de commande élevée.

3. Dans l'ordinateur collecteur, tapez Wecutil qc avec une invite de commande élevée.

4. Ajoutez le compte de l'ordinateur collecteur au groupe Administrateurs local dans chaque ordinateur source.

5. Créez l'abonnement.

6. Filtrez les événements pour n'afficher que les erreurs du journal système.

Lectures complémentaires • Création d'une vue personnalisée


• Configuration des ordinateurs pour la transmission et la collecte des événements http://go.microsoft.com/fwlink/?LinkId=99513

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Analyseur de fiabilité et de performances Windows (WRPM)

Points clés L'Analyseur de fiabilité et de performances Windows (WRPM) est une suite de composants logiciels enfichables nouveaux et améliorés qui améliorent considérablement votre capacité à surveiller le bon fonctionnement et les performances de vos serveurs Windows, de façon réactive et proactive.

Le Moniteur de fiabilité surveille les modifications apportées au système, notamment les installations et les désinstallations de logiciels. L'Analyseur de performances génère des vues graphiques ou des rapports à partir des données de performances journalisées ou en temps réel. Les Ensembles de collecteurs de données et les Rapports vous permettent de gérer la collecte et de vérifier les données de performances.

Vous découvrirez chacun de ces outils au cours de ce module et vous aurez vous-même la possibilité de les utiliser dans l'atelier associé à ce module.

Lectures complémentaires • Analyseur de fiabilité et de performances Windows


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Analyseur de ressources et de performances Windows (WRPM)

Points clés Dans cette démonstration, votre instructeur va vous présenter rapidement WRPM, de sorte que vous connaissiez les différents composants logiciels enfichables et nœuds de cette puissante suite d'outils d'administration.

Étapes de la démonstration 1. Ouvrez le Moniteur de fiabilité et de performances.

2. Examinez l'écran Vue d'ensemble des ressources. Développez certaines sections pour en afficher les détails.

3. Ouvrez l'Analyseur de performances. Cette fonctionnalité n'a pas vraiment changé depuis Windows Server 2003.

4. Ouvrez le Moniteur de fiabilité. Parcourez et examinez certains détails.

5. Ouvrez les Rapports et remarquez les rapports système disponibles.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Analyseur de fiabilité

Points clés Le Moniteur de fiabilité permet d'examiner la stabilité du système et les événements et modifications qui affectent son intégrité globale. Il surveille l'installation et la désinstallation de logiciels et les défaillances de Windows, des applications et du matériel.

Le Moniteur de fiabilité calcule un index de stabilité du système qui montre, sous forme graphique, si des problèmes inattendus ont réduit la fiabilité. Les informations fournies par le Rapport de stabilité du système associé permettent de voir si la baisse de fiabilité est due à des modifications spécifiques.

Lectures complémentaires • Utilisation du Moniteur de fiabilité


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Analyseur de performances

Points clés L'Analyseur de performances permet d'examiner les performances du système sous forme de graphiques ou de rapports. Alors que le Moniteur de ressources présente les performances associées aux composants du système (processeur, disque, mémoire et réseau), l'analyseur de performances permet d'examiner les performances de manière plus approfondie. Même pour les composants système, l'Analyseur de performances donne davantage d'informations : utilisation du disque par partition ou volume physique, utilisation du processeur par cœur et types spécifiques de paquets envoyés ou reçus, par exemple.

L'Analyseur de performances propose également des compteurs pour les performances de nombreux composants, rôles, services et fonctionnalités plus granulaires. Pendant l'installation, les composants Windows peuvent enregistrer des compteurs de performances via l'Analyseur de performances. Par exemple, lorsque vous ajoutez le rôle AD DS à un serveur, l'objet performance NTDS (Service d'annuaire Windows NT) est enregistré et propose des douzaines de compteurs relatifs aux performances du service d'annuaire.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


L'Analyseur de performances vous permet de créer de façon interactive un ensemble de compteurs à surveiller en temps réel. Vous pouvez également enregistrer les compteurs dans l'Ensemble de collecteurs de données, réutilisable à tout moment pour consulter les performances en temps réel, ou que vous pouvez lancer ultérieurement pour enregistrer les performances dans un journal.

Les compteurs les plus utiles pour surveiller un serveur, et qui peuvent révéler les engorgements des principaux composants système, sont les suivants :

• Mémoire \ Pages/sec

• Disque physique \ Long. moy. de file d'attente du disque

• Processeur \ % Temps processeur

Dans un contrôleur de domaine, vous devez au moins surveiller les compteurs de performances suivants, proposés par l'objet NTDS (Service d'annuaire Windows NT) :

• NTDS\ Nb total d'octets DRA entrants/seconde

• NTDS\ Objets DRA entrants

• NTDS\ Nb total d'octets DRA sortants/seconde

• NTDS\ Nb de synchronisations de réplication DRA en attente

• NTDS \ Authentifications Kerberos/s

• NTDS\ Authentifications NTLM

Windows Server 2008 autorise les utilisateurs à consulter et à journaliser les performances sans qu'ils soient membres du groupe Administrateurs local. Pour permettre à un utilisateur non administrateur d'exploiter l'Analyseur de performances, ajoutez-le au groupe Utilisateurs du journal de performances. Le groupe Utilisateurs du journal de performances doit également être autorisé à ouvrir une session en tant que tâche, autorisation définie par défaut pour ce groupe.

Lectures complémentaires • Utilisation de l'Analyseur de performances


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Ensembles de collecteurs de données

Points clés Bien qu'il soit possible d'ajouter des compteurs dans une vue de l'Analyseur de performances de façon interactive, la répétition de cette opération devient vite ennuyeuse et, à long terme et sur plusieurs systèmes, difficile à gérer. De plus, d'autres sources d'informations que les compteurs de performances, telles que le suivi des événements et des paramètres du Registre, permettent de surveiller avec précision les performances et le bon fonctionnement d'un système.

L'ensemble de collecteurs de données est la pierre angulaire des rapports et de l'analyse de WRPM. Un ensemble de collecteurs de données organise les compteurs de performances et les paramètres du Registre et présente ces données à partir d'un seul composant, utilisable ensuite pour consulter les performances en temps réel ou enregistrer les performances selon un planning ou un déclenchement manuel. L'ensemble de collecteurs de données et les informations enregistrées sont ensuite consultables sous forme de rapport ou peuvent être chargées dans l'Analyseur de performances ou l'une des différentes applications Microsoft ou autre. Les ensembles de collecteurs de données peuvent également être configurés pour générer des alertes lorsque certains seuils sont atteints, ou pour déclencher des actions WMI (Windows Management Instrumentation).

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lectures complémentaires • Création d'ensembles de collecteurs de données


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Surveillance des services AD DS

Points clés Dans cette démonstration, votre instructeur va configurer un ensemble de collecteurs de données AD DS, en décrivant les concepts et les outils présentés à la diapositive précédente.

Vous aurez la possibilité de revoir et de mettre en pratique des procédures similaires au cours de l'atelier de cette leçon.

Étapes de la démonstration Créez un nouvel ensemble de collecteurs de données nommé Active Directory personnalisé.

1. Ajoutez les compteurs de base du serveur.

2. Ajoutez certains compteurs Active Directory, puis démarrez l'Ensemble de collecteurs de données.

3. Effectuez quelques opérations pour générer des statistiques. Par exemple, créez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


4. Arrêtez l'Ensemble de collecteurs de données et examinez le rapport défini par l'utilisateur.

5. Dans le conteneur système, démarrez l'Ensemble de collecteurs de données Diagnostics Active Directory.

6. Effectuez quelques opérations pour générer des statistiques. Par exemple, créez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.

7. Arrêtez l'Ensemble de collecteurs de données et examinez le rapport défini par le système.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Recommandations en matière de surveillance

Points clés Pour élaborer une structure de surveillance efficace, respectez les directives suivantes :

Surveillance en amont pour établir des références

Il est essentiel de surveiller les performances pendant que le système fonctionne normalement. Vous pouvez ainsi établir des références et connaître les plages prévues des compteurs de performances. Pour obtenir des mesures de référence, surveillez les compteurs de performances pendant les périodes d'activité et d'inactivité.

Surveillance fréquente pour détecter les problèmes potentiels

Établissez une routine de surveillance régulière, éventuellement en planifiant des ensembles de collecteurs de données, et comparez les journaux et les rapports à vos mesures de référence. Recherchez les valeurs s'écartant inhabituellement des valeurs prévues de manière à détecter les problèmes potentiels avant qu'ils ne se manifestent dans votre service d'annuaire.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Surveillance et interprétation des performances avant l'apparition d'un engorgement

Vous n'aurez pas le temps d'apprendre à collecter et à interpréter les compteurs de performances et les événements si vous attendez qu'un véritable problème survienne. Vous devez donc anticiper et prendre le temps d'apprendre à exploiter les outils et savoir quels les compteurs vous donnent les informations les plus significatives sur les performances dans votre entreprise. Définissez des ensembles de collecteurs de données qui simplifieront la collecte des performances en cas de crise et n'oubliez pas de les exporter pour les sauvegarder en cas de panne du système qui sert habituellement pour la surveillance.

Collecte des données les plus pertinentes

Ne poussez pas trop loin la surveillance. Si vous tentez de surveiller tous les compteurs, tous les suivis d'événements et toutes les entrées du Registre, vous allez créer un tel volume d'informations sur les performances qu'il vous sera difficile d'y repérer les vrais problèmes. De plus, la surveillance des performances dégrade légèrement les performances du système. Choisissez vos activités de surveillance en fonction des besoins de votre entreprise.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique A : Surveillance des événements et des performances d'Active Directory

Scénario Le mois dernier, la panne du seul contrôleur de domaine de la succursale a entraîné la déconnexion du centre d'appels de Contoso pendant une journée entière et une perte importante de bénéfices. Vous avez été engagé pour remplacer l'administrateur qui avait configuré un emplacement sensible, sans surveillance ni redondance de l'authentification. Cette semaine, vous vous efforcez de configurer la surveillance afin d'être certain de pouvoir examiner en permanence les performances et la fiabilité et de déceler tout signe de problème.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Surveillance des performances en temps réel avec le Gestionnaire des tâches et le Moniteur de ressources Dans cet exercice, vous allez utiliser le Gestionnaire des tâches et le Moniteur de ressources pour examiner les performances générales en temps réel. Cela vous permettra d'identifier les engorgements et les processus ou services qui consomment trop de ressources système.



2. Surveiller les performances en temps réel avec le Gestionnaire des tâches.

3. Surveiller les performances en temps réel avec le Moniteur de ressources.



• Exécutez D:\Labfiles\Lab13a\Lab13a_Setup.bat avec des droits administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd.

• Le script d'installation de l'atelier s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.

• Fermez la fenêtre de l'Explorateur Windows, Lab13a.

• Démarrez 6238B-HQDC02-B.

• Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

Tâche 2 : Surveillance des performances en temps réel avec le Gestionnaire des tâches 1. Dans HQDC01, appuyez sur Ctrl+Maj+Échap pour lancer le Gestionnaire des

tâches.

2. Ouvrez l'onglet Processus et examinez les commandes disponibles lorsque vous cliquez du bouton droit sur taskmgr.exe. Examinez les propriétés d'un processus en ouvrant la boîte de dialogue Propriétés de taskmgr.exe.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


3. Affichez les processus de tous les utilisateurs. Vous aurez pour cela besoin d'informations d'identification d'administration. Utilisez le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

4. Dans l'onglet Services, arrêtez, puis démarrez le service Dnscache.

5. Cliquez du bouton droit sur le service Dnscache et choisissez Aller dans le processus.

Question : Quel processus héberge le service Client DNS ?

6. Cliquez du bouton droit sur le processus et choisissez Accéder aux services.

Question : L'onglet Services présente le sous-ensemble des fonctionnalités les plus utilisées d'un composant logiciel enfichable d'administration. Lequel ?

7. Cliquez sur le bouton Services. La console Services s'affiche. Fermez la console Services.

8. Ouvrez l'onglet Utilisateurs. Cet onglet présente les utilisateurs qui sont connectés en local (console) ou à distance au serveur.

9. Ouvrez l'onglet Réseau.

Cet onglet donne un aperçu des performances de chaque carte réseau disponible.

10. Ouvrez l'onglet Performances.

Cet onglet donne un aperçu des performances de l'utilisation du processeur et de la mémoire.

Question : Quel composant système majeur n'apparaît pas dans le Gestionnaire des tâches ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Surveillance des performances en temps réel avec le Moniteur de ressources 1. Dans l'onglet Performances du Gestionnaire des tâches, cliquez sur le bouton

Moniteur de ressources.

Si le système vous demande des informations d'identification d'administration, utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Le Moniteur de ressources s'affiche. Agrandissez la fenêtre du Moniteur de ressources et fermez le Gestionnaire des tâches.

3. Cliquez sur le graphique du Processeur. Quelle utilisation du processeur est générée par le Moniteur de fiabilité et de performances lui-même ?

4. Cliquez de nouveau sur le graphique du Processeur. La section Processeur se réduit.

5. Cliquez sur le graphique Disque. Quel fichier présente le plus d'activités de lecture ? Quel processus génère cette activité de lecture pour ce fichier ? Quel fichier présente le plus d'activités d'écriture ? Quel processus génère cette activité d'écriture pour ce fichier ?

Pour afficher l'activité du fichier d'échange, cliquez sur le titre de la colonne Fichier. Si C:\pagefile.sys n'apparaît pas dans la liste, ouvrez une application telle que le Gestionnaire de serveur. Cette opération devrait générer une activité dans le fichier d'échange.

Question : Combien de processus lisent ou écrivent dans le fichier pagefile.sys ?

Question : Quel composant système doit être augmenté lorsque l'activité de lecture et d'écriture du fichier d'échange est constamment élevée ?

6. Fermez le Gestionnaire de ressources. Cliquez sur le bouton Démarrer et exécutez perfmon en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Les utilisateurs qui sont membres des groupes Utilisateurs de l'analyseur de performances, Utilisateurs du journal de performances et Administrateurs local, peuvent accéder à plus de fonctionnalités depuis WRPM.

La Page d'accueil de la console est la Vue d'ensemble des ressources, qui correspond au Moniteur de ressources. Notez que l'arborescence de la console contient tous les composants logiciels enfichables WRPM. Fermez la fenêtre Moniteur de fiabilité et de performances.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


7. Cliquez sur le bouton Démarrer et exécutez perfmon /res en tant qu'Administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Il s'agit là d'une autre manière d'ouvrir le Moniteur de ressources, que vous avez déjà ouvert à partir du Gestionnaire des tâches, et c'est la page d'accueil de la console Moniteur de fiabilité et de performances. Fermez le Moniteur de ressources.

Résultats : Au terme de cet exercice, vous aurez exploité le Gestionnaire des tâches et le Moniteur de ressources pour surveiller en temps réel les performances des processus, des services et des composants d'un système, notamment le disque, la mémoire, le réseau et le processeur.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Identification des événements de performances avec le Moniteur de fiabilité et l'Observateur d'événements Dans cet exercice, vous allez utiliser le Moniteur de fiabilité pour examiner les événements relatifs à la stabilité. Vous utiliserez ensuite l'Observateur d'événements pour identifier les événements liés aux performances et à la fiabilité et vous apprendrez à exploiter les vues personnalisées.


1. Surveiller les événements liés à la stabilité avec le Moniteur de fiabilité.

2. Identifier les événements liés aux rôles avec le Gestionnaire de serveur.

3. Analyser des journaux d'événements.

4. Créer une vue personnalisée.

5. Exporter une vue personnalisée.

6. Importer une vue personnalisée.

Tâche 1 : Surveillance des événements liés à la stabilité avec le Moniteur de fiabilité 1. Exécutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom


2. Utilisez le Moniteur de fiabilité pour examiner les événements liés à la stabilité survenus le 9 septembre 2009.

Tâche 2 : Identification des événements liés aux rôles avec le Gestionnaire de serveur 1. Dans la section Résumé des rôles du nœud racine du Gestionnaire de serveur,

examinez les icônes qui s'affichent à côté des rôles ADDS et Serveur DNS.

2. Cliquez sur le lien du rôle ADDS dans la section Résumé des rôles et examinez les informations de la section Événements.

3. Cliquez sur le lien Filtrer les événements dans la section Événements et supprimez les événements Informations de la vue.

4. Double-cliquez sur un événement pour afficher ses détails, examinez l'événement, puis fermez-le.

5. Remarquez les informations affichées dans la section Services système.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Examen des journaux d'événements 1. Dans la section Résumé des événements d'administration de la racine du

composant logiciel enfichable Observateur d'événements du Gestionnaire de serveur, développez le résumé des événements Erreur. Double-cliquez sur une ligne de résumé présentant la source ActiveDirectory.

2. Si le résumé ne contient pas de ligne associée à la source ActiveDirectory, double-cliquez sur une autre ligne du résumé des événements Erreur.

La vue des événements de la page Résumé s'ouvre dans le volet d'informations. Cette vue permet d'explorer les événements synthétisés dans la ligne du résumé des événements Erreur.

Examinez les journaux des nœuds Journaux Windows et Journaux des applications et des services dans l'arborescence de la console.

Examinez les événements de la vue Événements d'administration. Cliquez du bouton droit sur Événements d'administration et choisissez Propriétés. Notez que la Description indique que la vue présente les événements Critique, Erreur et Avertissement de tous les journaux d'administration. Cliquez sur le bouton Modifier le filtre et remarquez que cette vue personnalisée ne peut pas être modifiée. Elle est en Lecture seule. Remarquez également qu'il est difficile de savoir avec précision quels journaux sont inclus dans la liste Journaux d'événements. Les informations sont tronquées. Ouvrez l'onglet XML. Pouvez-vous identifier les journaux inclus grâce aux informations de l'onglet XML ? Dans chaque élément XML Select, à quoi pensez-vous que Level fasse référence ? Cliquez à deux reprises sur Annuler pour fermer les boîtes de dialogue ouvertes.

Tâche 4 : Création d'une vue personnalisée • Dans le dossier Vues personnalisées, créez une vue personnalisée qui affiche

les messages Critique, Avertissement et Erreur des journaux suivants : Réplication DFS, Service d'annuaire et Serveur DNS. Nommez le journal Custom Directory Service Event View.

Tâche 5 : Exportation d'une vue personnalisée • Exportez la vue Custom Directory Service Event View sous le nom de fichier

D:\Data\DSEventView.xml.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 6 : Importation d'une vue personnalisée 1. Dans HQDC02, importez la vue personnalisée

\\HQDC01\Data\DSEventView.xml et nommez-la Custom Directory Service Event View.

2. Le message Erreur de requête s'affiche car l'ordinateur HQDC02 n'est pas un serveur DNS et n'a donc pas de journal Serveur DNS. Cliquez sur OK.

Résultats : Au terme de cet exercice, vous aurez identifié plusieurs emplacements du Gestionnaire de serveur dans lesquels sont affichés les événements liés aux rôles et aux performances des serveurs. Vous aurez également créé une vue personnalisée et l'aurez importée dans l'Observateur d'événements d'un autre ordinateur.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Surveillance des événements des ordinateurs distants via les abonnements aux événements Dans cet exercice, vous allez utiliser la nouvelle fonctionnalité de transfert d'événement et d'abonnement de Windows Server 2008 pour capturer les événements issus de systèmes distants pour la surveillance centralisée.


1. Configurer les ordinateurs pour le transfert et la collecte des événements.

2. Créer un abonnement pour la collecte des événements.

3. Générer des événements.

4. Afficher des événements transmis.

Tâche 1 : Configuration des ordinateurs pour le transfert et la collecte des événements 1. Dans HQDC01, exécutez l'invite de commande en tant qu'administrateur, avec

le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez wecutil qc, appuyez sur Entrée, puis sur Y et de nouveau sur Entrée pour configurer la collecte des événements.

2. Dans HQDC02, exécutez l'invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez winrm quickconfig, appuyez sur Entrée, puis sur Y, et de nouveau sur Entrée pour configurer la Gestion à distance de Windows.

Tâche 2 : Création d'un abonnement pour la collecte des événements 1. Dans le composant logiciel enfichable Observateur d'événements du

Gestionnaire de serveur de l'ordinateur HQDC01, créez un nouvel abonnement nommé DC Services qui collecte les événements de l'ordinateur HQDC02. Configurez l'abonnement pour qu'il collecte les événements du journal Système associé à l'ID d'événement 7036. L'abonnement doit utiliser le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Il doit être configuré sur Minimiser la latence. Si des messages de l'Observateur d'événements s'affichent à la fin de la configuration, cliquez sur Oui.

2. Vérifiez que, dans le dossier Abonnements, l'état du nouvel abonnement DC Services indique Actif.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Génération d'événements • Dans HQDC02, tapez net stop dfsr à l'invite de commande, appuyez sur

Entrée, tapez ensuite net start dfsr et appuyez de nouveau sur Entrée.

Tâche 4 : Affichage des événements transmis 1. Basculez vers HQDC01.

2. Dans l'arborescence de la console du Gestionnaire de serveur, sous Observateur d'événements\Journaux Windows, cliquez sur Événements transmis.

L'affichage des événements transmis peut prendre plusieurs minutes. Si les événements ne s'affichent pas immédiatement, patientez quelques minutes, démarrez et arrêtez le service Réplication du système de fichiers distribués (DFS) sur l'ordinateur HQDC02 et patientez encore quelques minutes.

Résultats : Au terme de cet exercice, vous aurez configuré des abonnements pour afficher les événements provenant de l'ordinateur HQDC02 dans l'ordinateur HQDC01.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 4 : Association de tâches aux journaux d'événements et aux événements Dans cet exercice, vous allez invoquer des tâches lorsqu'un journal d'événements est mis à jour ou lorsqu'un événement est généré.


1. Associer une tâche à un journal d'événements et à un événement.

2. Préparer l'affichage des messages liés aux tâches de l'Observateur d'événements.

3. Vérifier le bon fonctionnement des tâches de l'Observateur d'événements.

Tâche 1 : Association d'une tâche à un journal d'événements et à un événement 1. Dans HQDC01, cliquez du bouton droit sur le journal d'événements

Événements transmis et associez une tâche à ce journal. La tâche doit afficher un message portant le titre Forwarded Event Received (Événements transmis reçus) et le message A forwarded event was received (Un événement transmis a été reçu).

2. Dans le journal d'événements Événements transmis, cliquez du bouton droit sur l'un des événements 7036 et associez-lui une tâche. La tâche doit afficher un message portant le titre DC Service Event (Événement du Service DC) et le message A service was started or stopped (Un service a été démarré ou arrêté).

Tâche 2 : Préparation de l'affichage des messages liés aux tâches de l'Observateur d'événements Lorsque vous choisissez d'afficher un message dans une tâche, comme les messages s'affichent sur le Bureau de l'utilisateur dont le compte a servi à créer la tâche de l'Observateur d'événements (Pat.Coleman_Admin), vous devez ouvrir une session de façon interactive avec le compte Pat.Coleman_Admin pour tirer pleinement parti de cette simulation.

• Fermez la session ouverte sur l'ordinateur HQDC01 et ouvrez une session avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Vérification du bon fonctionnement des tâches de l'Observateur d'événements 1. Dans HQDC02, tapez net stop dfsr à l'invite de commande, appuyez sur

Entrée, tapez ensuite net start dfsr et appuyez de nouveau sur Entrée.

2. Dans HQDC01, attendez que les messages liés aux tâches de l'Observateur d'événements s'affichent.

Résultats : Au terme de cet exercice, vous aurez configuré des tâches devant démarrer lors de la réception d'un événement dans le journal Événements transmis et lors du démarrage ou de l'arrêt d'un service sur un ordinateur distant.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 5 : Surveillance des services AD DS à l'aide de l'Analyseur de performances Dans cet exercice, vous allez utiliser l'Analyseur de performances pour surveiller les performances en temps réel d'AD DS, enregistrer les compteurs de performances et afficher le journal des compteurs de performances enregistrés.


1. Configurer l'Analyseur de performances pour surveiller les services AD DS.

2. Créer un Ensemble de collecteurs de données à partir des compteurs de l'Analyseur de performances.

3. Démarrer un Ensemble de collecteurs de données.

4. Afficher un rapport d'un Ensemble de collecteurs de données.

Tâche 1 : Configuration de l'Analyseur de performances pour surveiller les services AD DS 1. Dans le Gestionnaire de serveur de l'ordinateur HQDC02, ouvrez le

composant logiciel enfichable Analyseur de performances.

2. Ajoutez les compteurs de performances suivants :

• Services d'annuaire\Nb total d'octets DRA entrants/seconde

• Services d'annuaire\Nb total d'octets DRA sortants/seconde

• Services d'annuaire\Nb de threads Active Directory utilisées

• Services d'annuaire\Lectures Active Directory/sec

• Services d'annuaire\Écritures Active Directory/sec

• Services d'annuaire\Recherches Active Directory/sec

• Statistiques de sécurité au niveau du système\Authentifications Kerberos

• DNS\Requêtes UDP reçues/seconde

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


3. Examinez les performances pendant un moment. Ensuite, dans la liste des compteurs situés sous le graphique, sélectionnez Requêtes UDP reçues/seconde. Cliquez sur le bouton Surbrillance de la barre d'outils pour mettre ce compteur en évidence dans le graphique. Cliquez de nouveau sur le bouton Surbrillance de la barre d'outils pour désactiver la mise en évidence.

4. Prenez le temps d'explorer les fonctionnalités de l'Analyseur de performances. Toutefois, n'ajoutez pas et ne supprimez pas de compteurs.

Tâche 2 : Création d'un Ensemble de collecteurs de données à partir des compteurs de l'Analyseur de performances • Créez un nouvel ensemble de collecteurs de données à partir de la vue actuelle

de l'Analyseur de performances. Nommez cet ensemble Custom ADDS Performance Counters (Compteurs de performances AD DS personnalisés). Prenez note du répertoire racine par défaut dans lequel l'ensemble de collecteurs de données sera enregistré.

Tâche 3 : Démarrage d'un Ensemble de collecteurs de données 1. Cliquez sur le nœud Ensembles de collecteurs de données\Définis par

l'utilisateur, cliquez du bouton droit sur Custom ADDS Performance Counters et choisissez Démarrer.

2. Le nœud Custom ADDS Performance Counters est automatiquement sélectionné. Vous pouvez identifier les différents collecteurs de données individuels de l'ensemble de collecteurs de données. Dans ce cas, un seul collecteur de données (les compteurs de performances Journal de Moniteur système) s'affiche dans l'ensemble de collecteurs de données. Vous pouvez également voir où le résultat du collecteur de données est enregistré.

3. Dans l'arborescence de la console, cliquez du bouton droit sur l'ensemble de collecteurs de données Custom ADDS Performance Counters et choisissez Arrêter.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 4 : Affichage d'un rapport d'un Ensemble de collecteurs de données • Dans l'arborescence de la console, développez Custom ADDS Performance

Counters, puis cliquez sur System Monitor Log.blg. Le graphique des compteurs de performances du journal s'affiche.

Résultats : Au terme de cet exercice, vous aurez créé un Ensemble de collecteurs de données, autorisé son exécution et affiché ses données.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 6 : Utilisation des Ensembles de collecteurs de données Dans cet exercice, vous allez examiner et exécuter un ensemble de collecteurs de données prédéfini lors de l'ajout du rôle AD DS à un serveur. Vous allez ensuite créer un ensemble de collecteurs de données personnalisé, configurer son planning et ses stratégies de gestion des données, l'exécuter et en examiner le contenu.


1. Analyser un ensemble de collecteurs de données prédéfini.

2. Créer un ensemble de collecteurs de données.

3. Configurer des conditions de démarrage d'un ensemble de collecteurs de données.

4. Configurer des conditions d'arrêt d'un ensemble de collecteurs de données.

5. Configurer la gestion des données d'un collecteur.

6. Afficher les résultats de la collecte des données.

Tâche 1 : Examen d'un ensemble de collecteurs de données prédéfini 1. Sélectionnez l'ensemble de collecteurs de données Diagnostic Active

Directory sous Fiabilité et performances\Ensembles de collecteurs de données\Système. Notez les collecteurs de données faisant partie de l'Ensemble de collecteurs de données.

2. Démarrez l'ensemble de collecteurs de données.

3. Développez successivement Rapports, Système et Diagnostic Active Directory, puis cliquez sur le rapport. L'État du rapport indique que les données sont collectées pendant 300 secondes (cinq minutes). Attendez cinq minutes, ou au moins une, puis cliquez du bouton droit sur Diagnostic Active Directory sous Ensembles de collecteurs de données\Système et choisissez Arrêter.

4. Prenez le temps d'examiner les différentes sections du rapport. Cliquez du bouton droit sur le rapport et, à l'aide du menu Affichage, examinez les vues Analyseur de performances, Rapport et Dossier.

5. Dans le volet d'informations de la vue Dossier, double-cliquez sur Compteur de performances. Une nouvelle instance de WRPM s'ouvre pour afficher le journal. Il est possible que la nouvelle instance soit réduite, auquel cas vous pouvez la ramener au premier plan en cliquant sur son bouton dans la barre des tâches. Examinez la fenêtre, puis fermez WPRM.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


6. Dans l'arborescence de la console du Gestionnaire de serveur, sélectionnez le nœud Analyseur de performances. Cliquez sur le bouton Afficher les données du journal et configurez la source de l'Analyseur de performances sur C:\PerfLogs\ADDS\rapport\Compteur de performances, où rapport correspond au nom du rapport que vous venez de générer.

Notez qu'aucun compteur ne s'affiche immédiatement. Cliquez sur le bouton Ajouter un compteur et ajoutez les compteurs d'objets des services d'annuaire suivants à l'affichage : Lectures Active Directory/sec, Recherches Active Directory/sec et Écritures Active Directory/sec.

Tâche 2 : Création d'un ensemble de collecteurs de données 1. Dans l'arborescence de la console du Gestionnaire de serveur, sélectionnez le

nœud Défini par l'utilisateur situé sous Ensembles de collecteurs de données.

2. Créez un nouvel ensemble de collecteurs de données nommé Custom ADDS Diagnostics en utilisant l'ensemble de collecteurs de données Diagnostic Active Directory comme modèle. Enregistrez le nouvel ensemble de collecteurs de données dans le dossier C:\ADDS Data Collector Sets. Exécutez cet ensemble avec le nom d'utilisateur CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Dans un environnement de production, le compte que vous utilisez doit être un compte de domaine unique. Il doit être membre du groupe Utilisateurs du journal de performances et doit être autorisé à ouvrir une session en tant que tâche. Le groupe Utilisateurs du journal de performances disposant par défaut de cette autorisation, il vous suffit de créer un compte de domaine et d'en faire un membre de ce groupe.

Tâche 3 : Configuration des conditions de démarrage d'un ensemble de collecteurs de données • Configurez le planning du nouvel ensemble de collecteurs de données pour

qu'il commence le jour même et arrive à expiration dans une semaine. Configurez l'heure de début pour qu'elle commence dans cinq minutes. Prenez note de l'heure de début que vous configurez. Lorsque vous êtes invité à saisir les informations d'identification à associer à l'exécution de la tâche planifiée, utilisez le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 4 : Configuration des conditions d'arrêt d'un ensemble de collecteurs de données • Configurez la Condition d'arrêt de la tâche sur une durée globale de deux

minutes. Dans un environnement de production, vous exécuteriez probablement le collecteur de données pendant plus longtemps. Sélectionnez l'option Arrêter lorsque tous les collecteurs de données ont terminé.

Tâche 5 : Configuration de la gestion des données d'un collecteur • Configurez la stratégie des ressources du gestionnaire de données de sorte

qu'il supprime les éléments les plus anciens et qu'il copie tous les jours les fichiers .cab dans \\hqdc01\ADDS_Diag_Reports. Vérifiez que les options Créer un fichier cab et Supprimer les fichiers de données sont sélectionnées. Lorsque vous êtes invité à saisir les informations d'identification à associer à l'exécution de la tâche planifiée, utilisez le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Tâche 6 : Affichage des résultats de la collecte des données 1. Attendez que l'heure que vous avez configurée pour démarrer l'ensemble de

collecteurs de données soit passée. Sélectionnez le rapport situé sous Rapports\Défini par l'utilisateur\Custom ADDS Diagnostics et notez que l'État du rapport indique que les données sont collectées pendant 120 secondes (deux minutes). Lorsque la collecte des données est terminée, l'État du rapport indique que la génération du rapport est en cours.

Prenez le temps d'examiner le rapport.

2. Cliquez du bouton droit sur le rapport dans l'arborescence de la console, pointez sur Affichage et choisissez Dossier. Dans le volet d'informations, double-cliquez sur Compteur de performances.

Une nouvelle instance du Moniteur de fiabilité et de performances s'ouvre, l'Analyseur de performances affichant les données enregistrées dans le journal Compteur de performances. Prenez le temps d'examiner le graphique des performances, puis fermez la fenêtre.

Résultats : Au terme de cet exercice, vous aurez examiné un ensemble de collecteurs de données prédéfini, créé un ensemble de collecteurs de données personnalisé, exécuté cet ensemble selon le planning et affiché ses résultats.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Remarque : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce module.


Question : Dans quelles situations utilisez-vous actuellement, ou envisagez-vous d'utiliser, les abonnements aux événements comme outil de surveillance ?

Question : À quels événements ou compteurs de performances envisagez-vous d'associer des actions ou des notifications électroniques ? Utilisez-vous actuellement des notifications ou des actions dans le cadre de la surveillance de votre environnement ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 2 Gestion de la base de données Active Directory

Au Module 1, vous avez appris qu'en définitive Active Directory était une base de données prise en charge par un certain nombre de services. La gestion de la base de données Active Directory est quasiment automatique. Toutefois, la maintenance de ses fichiers eux-mêmes est parfois nécessaire. Dans cette leçon, vous allez apprendre à effectuer la maintenance de la base de données Active Directory et aussi à récupérer un objet supprimé accidentellement.


• décrire les composants et les fonctionnalités des fichiers de la base de données Active Directory ;

• utiliser NTDSUtil pour exécuter des tâches de maintenance de la base de données Active Directory, notamment la défragmentation hors connexion ;

• créer et monter des instantanés d'Active Directory ;

• récupérer un utilisateur supprimé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fichiers de la base de données Active Directory

Points clés La base de données Active Directory est stockée dans un fichier nommé NTDS.dit dont vous pouvez définir l'emplacement lors de l'installation et de la configuration d'AD DS. L'emplacement par défaut est %SystemRoot%\NTDS. Le fichier NTDS.dit contient toutes les partitions hébergées par le contrôleur de domaine : le schéma et la configuration de la forêt, le contexte de noms de domaine et (selon la configuration du serveur) le jeu d'attributs partiel et les partitions de l'annuaire d'applications.

Le dossier NTDS contient d'autres fichiers qui prennent en charge la base de données Active Directory. Le fichier Edb.log est le journal des transactions d'Active Directory. Lorsque l'annuaire doit être modifié, la modification est d'abord écrite dans ce fichier journal. Cette modification est ensuite validée dans l'annuaire en tant que transaction. Si la transaction échoue, la modification peut être annulée.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Ce processus est illustré dans la diapositive suivante :

Lorsque le système fonctionne normalement, le journal des transactions fonctionne de façon circulaire, les nouvelles transactions remplaçant les anciennes déjà validées. Toutefois, lorsqu'un grand nombre de transactions interviennent pendant une brève période, Active Directory crée des journaux de transactions supplémentaires. Plusieurs fichiers EDB*.log peuvent donc s'afficher dans le dossier NTDS d'un contrôleur de domaine particulièrement sollicité. Avec le temps, ces fichiers sont automatiquement supprimés.

Le fichier EDB.chk joue le rôle de signet dans les journaux, en marquant le point avant lequel les transactions ont bien été validées dans la base de données et après lequel les transactions doivent encore l'être.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Le fait que l'espace disque devienne insuffisant sur un lecteur est très problématique pour le serveur. Ce problème est encore plus important lorsque ce disque héberge la base de données Active Directory car les éventuelles transactions en cours ne peuvent pas être inscrites dans les journaux. Par conséquent, Active Directory gère deux fichiers journaux supplémentaires, edbres0001.jrs et edbres0002.jrs. Ces fichiers sont vides et font 10 Mo chacun. Lorsque l'espace d'un disque devient insuffisant pour les journaux de transactions normaux, Active Directory récupère l'espace occupé par ces deux fichiers pour poursuivre l'écriture des transactions. Bien évidemment, il est très important que l'administrateur résolve aussi vite que possible le problème d'espace disque. Le fichier fournit simplement une solution temporaire pour éviter que le service d'annuaire ne refuse les nouvelles transactions.

Lectures complémentaires • Fonctionnement du magasin de données (éventuellement en anglais)


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


NTDSUtil

Points clés Dans les modules précédents, vous avez utilisé la commande NTDSUtil pour exécuter des actions sur le service d'annuaire. Au Module 11, la commande a été utilisée pour capter des rôles de maître d'opérations. Dans ce module, vous allez utiliser la commande pour effectuer la maintenance de la base de données, notamment pour créer des instantanés, effectuer une défragmentation hors connexion et relocaliser les fichiers de la base de données.

La commande NTDSUtil permet également de nettoyer les métadonnées d'un contrôleur de domaine. Lorsqu'un contrôleur de domaine est rétrogradé (retiré du domaine) alors qu'il est hors connexion, il ne peut pas supprimer d'importantes informations dans le service d'annuaire. Vous pouvez dans ce cas utiliser la commande NTDSUtil pour nettoyer les restes du contrôleur de domaine, et cette opération est extrêmement importante.

Enfin, la commande NTDSUtil peut réinitialiser le mot de passe utilisé pour ouvrir une session de Restauration des services d'annuaire (DSRM). Ce mot de passe est initialement défini pendant la configuration d'un contrôleur de domaine. Si vous oubliez ce mot de passe, la commande ntds set dsrm permet de le réinitialiser.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lectures complémentaires • Outils et paramètres du magasin de données (éventuellement en anglais)


• Suppression de données dans Active Directory après l'échec de la rétrogradation d'un contrôleur de domaine http://go.microsoft.com/fwlink/?LinkId=168459

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Maintenance de la base de données

Points clés La gestion de la base de données Active Directory est quasiment automatique. Par défaut, toutes les 12 heures, chaque contrôleur de domaine exécute un processus appelé nettoyage de la mémoire. Ce nettoyage de la mémoire effectue deux opérations. D'abord, il efface les objets supprimés dont la durée de vie est dépassée. Lorsqu'un objet est supprimé, il est placé dans le conteneur Objets supprimés et débarrassé de la quasi-totalité de ses attributs. L'objet demeure dans le service d'annuaire pour la période définie par sa durée de vie de désactivation, par défaut 180 jours sous Windows Server 2008. L'entreprise peut ainsi réactiver ou restaurer l'objet à l'aide des procédures que vous allez découvrir dans la suite de cette leçon. Dès que la durée de vie est écoulée, le nettoyage de la mémoire définit la ligne de l'objet sur zéro dans la base de données.

Lorsque des objets sont supprimés, les lignes définies sur zéro créent un type de fragmentation susceptible d'affecter les performances. Le processus de nettoyage de la mémoire réorganise les lignes de la base de données pour placer les lignes vides de façon contiguë, une opération très proche de la réorganisation des secteurs d'un disque lors d'une défragmentation. Ce processus, appelé défragmentation en ligne, ne réduit pas la taille des fichiers de la base de données, mais optimise l'ordre interne de celle-ci.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Dans la plupart des environnements, cette opération est suffisante. Toutefois, il peut être nécessaire de réduire la taille du fichier NTDS.dit dans les organisations qui suppriment un grand nombre d'objets de l'annuaire. Pour ce faire, vous devez exécuter une défragmentation hors connexion avec la commande NTDSUtil. Les procédures requises sont traitées dans la suite de cette leçon.

Dans les versions précédentes de Windows, les contrôleurs de domaine plaçaient un verrou sur la base de données Active Directory. Pour effectuer la maintenance de la base de données, vous devez redémarrer le serveur dans la Restauration des services d'annuaire. Sous Windows Server 2008, l'architecture d'AD DS a été conçue sous forme de service et, comme n'importe quel autre service, peut être arrêté ou démarré à la demande depuis le composant logiciel enfichable Services. À présent, pour effectuer une défragmentation hors connexion, il vous suffit d'arrêter le service AD DS, d'effectuer la maintenance, puis de redémarrer le service.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Maintenance de la base de données AD DS

Points clés Dans cette démonstration, votre instructeur va vous montrer comment arrêter et démarrer le service AD DS et vous apprendre à compresser la base de données et à déplacer ses fichiers vers un autre volume.

Ces procédures sont disponibles dans le Corrigé de l'atelier pratique de ce module. Vous aurez la possibilité de mettre la plupart de ces procédures en pratique au cours de l'atelier.

Étapes de la démonstration Pour arrêter le service AD DS :

• Ouvrez la console Services, cliquez du bouton droit sur Services de domaine Active Directory et choisissez Arrêter dans le menu contextuel.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour effectuer une défragmentation hors connexion de la base de données Active Directory pendant que les Services AD DS sont à l'état arrêté :

1. Dans la fenêtre de commande, tapez ntdsutil et appuyez sur Entrée.

2. À l'invite de commande ntdsutil, tapez Activate Instance NTDS et appuyez sur Entrée.

3. À l'invite de commande ntdsutil:, tapez files et appuyez sur Entrée.

4. À l'invite file maintenance:, tapez compact to drive:\ LocalDirectoryPath (où drive:\ LocalDirectoryPath correspond au chemin d'accès d'un l'emplacement dans l'ordinateur local). Après un court instant, appuyez sur CTRL+C pour interrompre le processus. Ce processus peut durer un certain temps.

5. Lorsque le processus se termine de lui-même, vous devez copier le fichier NTDS.dit dans un emplacement de sauvegarde, de même que les journaux (*.log), puis supprimer ces derniers (*.log).

6. Pour finir, il est recommandé de vérifier l'intégrité de la base de données qui vient d'être compactée. Pour ce faire, tapez "integrity". Ce processus, comme la compression, prend un certain temps. Appuyez sur CTRL+C à tout moment pour interrompre le processus et passer à la suite de la démonstration.

Pour déplacer la base de données AD DS :

1. Dans la fenêtre de l'invite de commande file maintenance, tapez move db to pathname. Comme précédemment, nous n'allons pas attendre la fin de ce processus.

2. Appuyez sur CTRL+C pour interrompre le processus.

Sachez que, si nous avions attendu que le processus aille à son terme, le fichier NTDS.dit aurait été déplacé vers le nouvel emplacement et les autorisations auraient été définies en conséquence.

Enfin, redémarrez AD DS :

• Dans la console MMC des services, cliquez du bouton droit sur Services de domaine Active Directory et choisissez Démarrer.

Bravo, vous avez terminé !

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Question : Pourquoi est-il nécessaire d'arrêter les services AD DS avant la défragmentation ?

Question : Pourquoi est-il nécessaire de commencer par compacter la base de données dans un répertoire temporaire ?

Lectures complémentaires • Compactage du fichier de base de données d'annuaire (défragmentation hors

connexion) http://go.microsoft.com/fwlink/?LinkId=101083

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Instantanés d'Active Directory

Points clés La commande NTDSUtil de Windows Server 2008 permet de créer et de monter des instantanés d'Active Directory. Un instantané est une forme de sauvegarde de l'historique ; elle capture l'état exact du service d'annuaire au moment de l'instantané Contrairement à une sauvegarde, un instantané ne peut pas servir à restaurer des données. Vous pouvez cependant employer des outils pour explorer le contenu de l'instantané et examiner l'état du service d'annuaire tel qu'il était au moment de la création de l'instantané.

Pour créer un instantané :

1. Ouvrez une invite de commande élevée.

2. Tapez ntdsutil et appuyez sur Entrée.

3. Tapez snapshot, puis appuyez sur Entrée.

4. Tapez activate instance ntds et appuyez sur Entrée.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


5. Tapez create et appuyez sur Entrée.

La commande renvoie un message qui indique que l'ensemble d'instantanés a bien été généré.

L'identificateur global unique (GUID) qui s'affiche est important pour les commandes des tâches ultérieures. Notez le GUID ou copiez-le dans le Presse-papiers.

6. Tapez quit, puis appuyez sur Entrée.

Il est recommandé de planifier des instantanés réguliers d'Active Directory. Vous pouvez utiliser le Planificateur de tâches pour exécuter un fichier de commandes avec les commandes NTDSUtil appropriées.

Pour afficher le contenu d'un instantané, vous devez monter ce dernier en tant que nouvelle instance d'AD DS. Cette opération est effectuée via NTDSUtil.

Pour monter un instantané :

1. Ouvrez une invite de commande élevée.




5. Tapez list all, puis appuyez sur Entrée.

La commande récupère la liste de tous les instantanés.

6. Tapez mount {GUID}, où GUID correspond à l'identifiant GUID renvoyé par la commande create snapshot, puis appuyez sur Entrée.



9. Tapez dsamain -dbpath c:\$snap_dateheure_volumec$\windows\ntds \ntds.dit -ldapport 50000, puis appuyez sur Entrée.

Le numéro de port, 50000, peut être tout numéro de port TCP ouvert et unique.

Un message indique que le démarrage des services AD DS est terminé.

10. Ne fermez pas la fenêtre d'invite de commandes, laissez s'exécuter la commande que vous venez de saisir (Dsamain.exe), et passez à l'étape suivante.

Dès que l'instantané a été monté, vous pouvez utiliser des outils pour vous y connecter et l'explorer. Même la console Utilisateurs et ordinateurs Active Directory permet de se connecter à l'instance.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour vous connecter à un instantané avec Utilisateurs et ordinateurs Active Directory :

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Cliquez du bouton droit sur le nœud racine et choisissez Modifier le contrôleur de domaine.

La boîte de dialogue Changer de serveur d'annuaire s'affiche.

3. Cliquez sur <Tapez ici un nom de serveur d'annuaire[:port]>.

4. Tapez HQDC01:50000 et appuyez sur Entrée.

HQDC01 est le nom du contrôleur de domaine dans lequel vous avez monté l'instantané et 50000, le numéro de port TCP que vous avez configuré pour l'instance et par lequel vous êtes à présent connecté à l'instantané.

5. Cliquez sur OK.

Remarquez que les instantanés sont en lecture seule. Vous ne pouvez pas en modifier le contenu. Il n'existe pas non plus de méthode directe permettant de déplacer, de copier ou de restaurer des objets ou des attributs de l'instantané vers l'instance de production d'Active Directory.

Pour démonter l'instantané :

1. Revenez à l'invite de commande dans laquelle l'instantané a été monté.

2. Appuyez sur CTRL+C pour arrêter DSAMain.exe.




6. Tapez unmount GUID, où GUID correspond à l'identifiant GUID de l'instantané, puis appuyez sur Entrée.


8. Tapez quit et appuyez sur Entrée.

Lectures complémentaires • Guide pas à pas sur les outils de montage de la base de données AD DS

(Snapshot Viewer ou Snapshot Browser) http://go.microsoft.com/fwlink/?LinkId=168460

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Restauration des objets supprimés

Points clés Comme nous l'avons déjà mentionné, lorsqu'un objet est supprimé, il est placé dans le conteneur Objets supprimés et débarrassé de la quasi-totalité de ses attributs. En fait, les seuls attributs qui restent sont SID, objectGUID, lastKnownParent et sAMAccountName de l'objet.

Tant que le niveau fonctionnel du domaine est Windows Server 2003 ou un niveau supérieur, et tant que l'objet n'a pas été nettoyé par le processus de nettoyage de la mémoire après avoir atteint la fin de sa durée de vie, vous pouvez restaurer ou réactiver l'objet supprimé.

Pour restaurer un objet supprimé :

1. Cliquez sur le bouton Démarrer, tapez LDP.exe dans le champ Rechercher, puis appuyez sur Ctrl+Maj+Entrée pour exécuter la commande en tant qu'administrateur.

La boîte de dialogue Contrôle de compte d'utilisateur s'affiche.


3. Dans le champ Nom d'utilisateur, tapez celui d'un administrateur.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


4. Dans Mot de passe, tapez celui du compte d'administration, puis appuyez sur Entrée.

LDP s'affiche.

5. Dans le menu Connexion, cliquez sur Connexion, puis sur OK.

6. Dans le menu Connexion, cliquez sur Lier, puis sur OK.

7. Dans le menu Options, cliquez sur Contrôles.

8. Dans la liste Chargement prédéfini, cliquez sur Renvoyer les objets supprimés, puis sur OK.

9. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK.

10. Développez le domaine, puis double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com.

11. Cliquez du bouton droit sur l'objet supprimé et choisissez Modifier.

12. Dans la zone Attribut, tapez isDeleted.

13. Dans la section Opération, cliquez sur Supprimer.

14. Appuyez sur Entrée.

15. Dans la zone Attribut, tapez distinguishedName.

16. Dans le champ Valeurs, entrez le nom unique de l'objet dans l'unité d'organisation ou le conteneur parent dans lequel l'objet doit être restauré. Par exemple, tapez le nom unique de l'objet tel qu'il était avant d'être supprimé.

17. Dans la section Opération, cliquez sur Remplacer.


19. Cochez la case Étendu.

20. Cliquez sur le bouton Exécuter.

21. Cliquez sur le bouton Fermer.

22. Fermez LDP.

23. Servez-vous d'Utilisateurs et ordinateurs Active Directory pour renseigner à nouveau les attributs de l'objet, réinitialiser le mot de passe (pour un objet utilisateur) et activer l'objet (s'il est désactivé).

Lectures complémentaires • Scénario complet d'utilisation de l'outil de montage de la base de données

Active Directory http://go.microsoft.com/fwlink/?LinkId=168462

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Utilisation d'instantanés et réanimation d'objets

Points clés Dans cette démonstration, votre instructeur va créer un instantané, supprimer un objet (un utilisateur peut-être), monter l'instantané avec NTDSutil et utiliser LDP ou ADSIedit pour afficher l'objet supprimé dans l'instantané.

Vous aurez bientôt la possibilité de revoir et de mettre en pratique des procédures similaires au cours de l'atelier de cette leçon.

Pour la procédure propre à cette démonstration, référez-vous aux deux rubriques précédentes, Instantanés d'Active Directory et Restauration des objets supprimés. Elles contiennent les procédures qui permettent de créer un instantané, de le monter, de s'y connecter avec Utilisateurs et ordinateurs Active Directory, de le démonter et de restaurer un objet supprimé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Question : Dans quels cas s'avère-t-il utile de monter plusieurs instantanés simultanément ?

Question : Pourquoi est-il nécessaire de spécifier différents ports LDAP, SSL et de catalogue global pour chaque instance montée de la base de données ?

Lectures complémentaires • Scénario complet d'utilisation de l'outil de montage de la base de données

Active Directory : http://go.microsoft.com/fwlink/?LinkId=168818

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique B : Gestion de la base de données Active Directory

Scénario Vous êtes l'administrateur de Contoso, Ltd., une université en ligne. À la fin du semestre, il y 65 jours, vous avez supprimé les 835 comptes d'utilisateur des étudiants qui ont obtenu leur diplôme ou qui ne poursuive pas leur cursus. Vous voulez à présent compacter votre base de données Active Directory pour récupérer l'espace libéré par les nombreux objets supprimés. Vous avez également appris que le compte d'Adriana Giorgi a été supprimé la veille par accident. Vous souhaitez récupérer ce compte par l'intermédiaire d'un instantané dont vous avez planifié l'exécution à 01 h 00 chaque nuit.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Maintenance de la base de données Dans cet exercice, vous allez effectuer la maintenance de la base de données Active Directory. Pour ce faire, vous devrez arrêter le service AD DS et le redémarrer lorsque la maintenance sera terminée.



2. Préparer le compactage de la base de données Active Directory.

3. Arrêter le service AD DS.

4. Compacter la base de données Active Directory.

5. Substituer la base de données Active Directory par la copie compactée.

6. Vérifier l'intégrité de la base de données compactée.

7. Démarrer le service AD DS.

Tâche 1 : Préparation de l'atelier pratique Les ordinateurs virtuels ont déjà dû être démarrés lors de l'Atelier pratique A. Toutefois, s'ils ont été arrêtés, procédez comme suit :

1. Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

2. Démarrez 6238B-HQDC02-B sans ouvrir de session.

Tâche 2 : Préparation du compactage de la base de données Active Directory 1. Exécutez une invite de commande en tant qu'administrateur, avec le nom


2. À l'invite de commande, créez deux dossiers : D:\NTDSCompact et D:\NTDSOriginal.

Tâche 3 : Arrêt du service AD DS 1. Exécutez la console Services en tant qu'administrateur avec le nom


2. Arrêtez le service AD DS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 4 : Compactage de la base de données Active Directory • Utilisez NTDSUtil pour activer l'instance NTDS et compacter le fichier de base

de données dans D:\NTDSCompact.

Tâche 5 : Substitution de la base de données Active Directory par la copie compactée 1. Déplacez l'ancienne version de NTDS.dit et tous les fichiers *.log du dossier

%SystemRoot%\NTDS vers D:\NTDSOriginal afin de les préserver en cas d'échec ou de problème lié au compactage.

2. Copiez le fichier NTDS.dit compacté du dossier D:\NTDSCompact vers %SystemRoot%\NTDS\ntds.dit.

Tâche 6 : Vérification de l'intégrité de la base de données compactée • Utilisez NTDSUtil pour activer l'instance de NTDS, en vérifier l'intégrité et

effectuer une analyse sémantique de la base de données en mode correction.

Tâche 7 : Démarrage du service AD DS 1. Revenez à la console Services.

2. Démarrez le service AD DS.

3. Fermez la console Services.

Résultats : Au terme de cet exercice, vous aurez arrêté AD DS, compacté la base de données Active Directory, effectué une vérification sémantique et de l'intégrité et redémarré AD DS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Utilisation des instantanés et récupération d'un utilisateur supprimé Dans cet exercice, vous allez créer et monter un instantané Active Directory et utiliser les informations pour renseigner à nouveau les attributs d'un objet utilisateur supprimé.


1. Créer un instantané d'Active Directory.

2. Modifier Active Directory

3. Monter un instantané Active Directory et créer une nouvelle instance.

4. Analyser un instantané dans Utilisateurs et ordinateurs Active Directory.

5. Utiliser LDP pour restaurer un objet supprimé (facultatif).

Tâche 1 : Création d'un instantané d'Active Directory • À l'invite de commande élevée, tapez les commandes suivantes :

ntdsutil snapshot activate instance ntds create quit quit

La commande renvoie un message qui indique que l'ensemble d'instantanés a bien été généré. L'identificateur global unique (GUID) qui s'affiche est important pour les commandes des tâches ultérieures. Notez le GUID ou copiez-le dans le Presse-papiers.

Tâche 2 : Modification d'Active Directory 1. Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur,


2. Supprimez le compte d'Adriana Giorgi de l'unité d'organisation User Accounts\Employees.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Montage d'un instantané Active Directory et création d'une nouvelle instance 1. À l'invite de commande élevée, tapez les commandes suivantes :

ntdsutil activate instance ntds snapshot list all

La commande récupère la liste de tous les instantanés.

2. Tapez les commandes suivantes :

mount guid quit quit

où guid est l'identifiant GUID de l'instantané que vous avez créé.

3. Démarrez une instance d'Active Directory utilisant l'instantané en tapant la commande suivante sur une seule ligne.

dsamain -dbpath c:\$snap_dateheure_volumec$\windows\ntds\ntds.dit -ldapport 50000

Notez que « dateheure » doit être une valeur unique pour vous. Votre lecteur C ne doit comprendre qu'un seul dossier commençant par $snap.

Un message indique que le démarrage des services de domaine Active Directory est terminé. Laissez Dsamain.exe continuer son exécution. Ne fermez pas l'invite de commande.

Tâche 4 : Examen d'un instantané dans Utilisateurs et ordinateurs Active Directory 1. Revenez à Utilisateurs et ordinateurs Active Directory. Cliquez du bouton

droit sur le nœud racine du composant logiciel enfichable et choisissez Modifier le contrôleur de domaine. Tapez le nom du serveur d'annuaire et le port HQDC01:50000, puis appuyez sur Entrée. Cliquez sur OK.

2. Localisez l'objet Adriana Giorgi dans l'unité d'organisation User Accounts\Employees. Remarquez que l'objet Adriana Giorgi s'affiche car l'instantané a été créé avant sa suppression.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 5 (facultatif) : Utilisation de LDP pour restaurer un objet supprimé La restauration d'un compte utilisateur supprimé n'est pas directement liée aux instantanés. Pour réanimer des objets du conteneur Objets supprimés d'Active Directory, utilisez la commande Ldp.exe. Un objet supprimé étant débarrassé de la plupart de ses attributs, un instantané se révèle très utile pour examiner les attributs de l'objet avant sa suppression.

1. Cliquez sur le bouton Démarrer. Tapez LDP.exe dans le champ Rechercher, puis appuyez sur Ctrl+Maj+Entrée pour exécuter la commande en tant qu'administrateur.

La boîte de dialogue Contrôle de compte d'utilisateur s'affiche.


3. Dans le champ Nom d'utilisateur, tapez Pat.Coleman_Admin.

4. Dans le champ Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée.

LDP s'affiche.

5. Dans le menu Connexion, cliquez sur Connexion, puis sur OK.

6. Dans le menu Connexion, cliquez sur Lier, puis sur OK.

7. Dans le menu Options, cliquez sur Contrôles.

8. Dans la liste Chargement prédéfini, cliquez sur Renvoyer les objets supprimés, puis sur OK.

9. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK.

10. Dans l'arborescence de la console, développez DC=contoso,DC=com, puis double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com.

11. Cliquez du bouton droit sur CN=Adriana Giorgi, puis cliquez sur Modifier.

12. Dans la zone Attribut, tapez isDeleted.

13. Dans la section Opération, cliquez sur Supprimer.


15. Dans la zone Attribut, tapez distinguishedName.

16. Dans le champ Valeurs, tapez CN=Adriana Giorgi,OU=Employees,OU=User Accounts,DC=contoso,DC=com.

17. Dans la section Opération, cliquez sur Remplacer.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



19. Cochez la case Étendu.

20. Cliquez sur le bouton Exécuter.

21. Cliquez sur le bouton Fermer.

22. Fermez LDP.

23. Exécutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

24. Dans l'arborescence de la console, développez le domaine contoso.com, puis l'unité d'organisation User Accounts et cliquez sur l'unité d'organisation Employees.

25. Remarquez que le compte d'Adriana Giorgi a été restauré. Cependant, tous ses attributs sont absents, notamment la description et le mot de passe. Du fait de l'absence du mot de passe, le compte a été désactivé.

26. Revenez à l'instance d'Utilisateurs et ordinateurs Active Directory dans laquelle les données de l'instantané sont affichées.

27. Notez que vous pouvez utiliser les attributs indiqués dans l'instantané pour renseigner à nouveau manuellement les attributs dans Active Directory.

28. Fermez les deux instances d'Utilisateurs et ordinateurs Active Directory.

Tâche 6 : Démontage d'un instantané d'Active Directory 1. À l'invite de commande, appuyez sur Ctrl+C pour arrêter DSAMain.exe.

2. Tapez les commandes suivantes :

ntdsutil activate instance ntds snapshot unmount guid quit quit

où guid est l'identifiant GUID de l'instantané.

Résultats : Au terme de cet exercice, vous aurez créé, monté et examiné un instantané d'Active Directory et, éventuellement, restauré un compte d'utilisateur supprimé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Remarque : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce module.


Question : Dans quels autres cas peut-il être utile de monter un instantané d'Active Directory ?

Question : Quels sont les inconvénients de la restauration d'un objet supprimé avec un outil tel que LDP ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 3 Sauvegarde et restauration des services AD DS et des contrôleurs de domaine

Même avec les technologies et un plan de surveillance les plus efficaces possibles, la défaillance d'un contrôleur de domaine reste possible, de même que la corruption d'Active Directory, intentionnelle ou accidentelle. Dans un tel cas, vous devez être prêt à restaurer le contrôleur de domaine, l'annuaire ou certains objets de l'annuaire. Dans cette leçon, vous allez apprendre à utiliser la fonctionnalité Sauvegarde de Windows Server et le mode Restauration des services d'annuaire pour sauvegarder et restaurer efficacement AD DS et les contrôleurs de domaine.


• sauvegarder un contrôleur de domaine AD DS ;

• planifier des opérations de sauvegarde de contrôleurs de domaine ;

• restaurer AD DS.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Outils de sauvegarde et de restauration

Points clés La Sauvegarde de Windows Server est une nouvelle fonctionnalité puissante de Windows Server 2008 qui permet de sauvegarder et de restaurer un serveur, ses rôles et ses données. La Sauvegarde de Windows Server est installée sous forme de fonctionnalité du Gestionnaire de serveur.

La fonctionnalité Sauvegarde de Windows Server fournit un outil d'administration de composant logiciel enfichable et la commande WBAdmin (wbadmin.exe). Ces deux outils permettent d'effectuer des sauvegardes manuelles ou automatisées dans un volume de disque externe ou interne, un partage distant ou un support optique. La sauvegarde sur bande n'est plus prise en charge par la Sauvegarde de Windows Server.

La fonctionnalité Sauvegarde de Windows Server vous permet d'effectuer les types suivants de sauvegarde :

• Serveur complet

• Volumes sélectionnés

• État du système

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous ne pouvez pas utiliser la Sauvegarde de Windows Server pour sauvegarder des fichiers ou des dossiers individuels. Vous pouvez cependant l'utiliser pour restaurer des fichiers ou des dossiers individuels.

Si vous choisissez d'effectuer la sauvegarde vers un volume de disque local ou externe, il est recommandé ou obligatoire (selon votre configuration) de dédier ce volume aux sauvegardes. En d'autres termes, n'utilisez pas ce volume pour stocker d'autres types de données.

Notez que l'outil de sauvegarde hérité, NTBackup, n'est plus pris en charge. En outre, la fonctionnalité Sauvegarde de Windows Server ne peut pas restaurer les sauvegardes réalisées avec NTBackup. Vous pouvez télécharger une version de NTBackup compatible avec Windows Server 2008 et pris en charge pour restaurer les fichiers de sauvegarde hérités dans Windows Server 2008 et récupérer des données. Toutefois, NTBackup ne doit pas être utilisé pour exécuter les nouvelles opérations de sauvegarde.

Plusieurs nuances et exigences régissent l'utilisation de la Sauvegarde de Windows Server selon les scénarios et les configurations. Si vous envisagez d'utiliser la Sauvegarde de Windows Server comme utilitaire de sauvegarde, veillez à lire les articles répertoriés dans la section « Lectures complémentaires » ci-dessous.

Lectures complémentaires • Présentation de la sauvegarde et de la restauration sous Windows Server 2008


• Sauvegarde de Windows Server http://go.microsoft.com/fwlink/?LinkId=168464

• Guide pas à pas de la Sauvegarde de Windows Server pour Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=168465

• Sauvegarde de votre serveur http://go.microsoft.com/fwlink/?LinkId=168466

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Présentation de la sauvegarde d'AD DS et des contrôleurs de domaine

Points clés Dans les versions précédentes de Windows, la sauvegarde d'Active Directory entraînait la création d'une sauvegarde de l'état du système, c'est-à-dire une petite collection de fichiers comprenant la base de données Active Directory et le Registre.

Sous Windows Server 2008, le concept d'état du système existe encore mais a été grandement élargi. Du fait des interdépendances entre les rôles de serveur, la configuration physique et Active Directory, l'état du système est à présent un sous-ensemble d'une sauvegarde complète du serveur et, dans certaines configurations, peut être aussi volumineuse. Pour sauvegarder un contrôleur de domaine, vous devez sauvegarder entièrement tous les volumes critiques.

Vous pouvez exploiter l'utilitaire Sauvegarde de Windows Server (le composant logiciel enfichable ou la commande wbadmin.exe) pour sauvegarder l'état du système.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lectures complémentaires • Guide pas à pas de la sauvegarde et de la restauration d'AD DS


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Sauvegarde des services AD DS

Points clés Dans cette démonstration, votre instructeur va vous montrer comment sauvegarder Active Directory. Vous aurez la possibilité de mettre vous-même une procédure similaire en pratique dans l'atelier associé à ce module.

Étapes de la démonstration Pour effectuer une sauvegarde interactive d'Active Directory :

1. Ouvrez le composant logiciel enfichable Sauvegarde de Windows Server.

2. Cliquez sur le lien Sauvegarde unique. L'Assistant Sauvegarde unique s'affiche.

3. Dans la page des options de Sauvegarde, vérifiez que l'option Différentes options est sélectionnée, puis cliquez sur Suivant.

4. Dans la page Sélectionner la configuration de la sauvegarde, cliquez sur Personnalisé, puis sur Suivant.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


5. Dans la page Sélectionner les éléments de sauvegarde, vérifiez que la case à cocher Activer la récupération du système est sélectionnée, puis cliquez sur Suivant.

6. Dans la page Spécifier le type de destination, cliquez sur Suivant.

7. Dans la page Sélectionner la destination de sauvegarde, cliquez sur Suivant.

8. Dans la page Spécifier une option avancée, cliquez sur Sauvegarde complète VSS, puis cliquez sur Suivant.

9. Dans la page Confirmation, cliquez sur Sauvegarde.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Autres outils de sauvegarde et de restauration

Points clés Windows Server 2008 propose plusieurs outils supplémentaires liés à la sauvegarde et à la restauration des services de domaine Active Directory.

Dans la leçon précédente, vous avez appris à créer des instantanés d'Active Directory. Ces instantanés, bien qu'en lecture seule, sont des éléments précieux de l'image de restauration. D'abord, vous pouvez facilement parcourir les instantanés pour identifier le moment où un problème est survenu dans l'annuaire, puis restaurer la sauvegarde appropriée en conséquence. Ensuite, si Windows ne propose pas de méthode permettant de copier ou de stocker les informations d'un instantané dans l'instance de production d'Active Directory, certains scripts et outils tiers vous permettent d'effectuer ces opérations.

La fonctionnalité Sauvegarde de Windows Server ajoute plusieurs applets de commande (cmdlet) Windows PowerShell qui vous permettent de créer des scripts d'opérations de sauvegarde et de restauration.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Enfin, l'Environnement de récupération Windows (WinRE) se révèle d'une aide incroyable dans certains scénarios de récupération. WinRE est une version de Windows résidant en mémoire qui dérive de l'environnement de préinstallation Microsoft Windows (WinPE). Vous pouvez lancer WinRE en démarrant à partir du DVD de Windows Server 2008 et en choisissant Options de récupération système lorsque vous y êtes invité. L'invite de commande qui apparaît vous donne un accès complet aux volumes des disques non chiffrés du système. Vous pouvez utiliser la commande wbadmin pour effectuer des opérations de sauvegarde ou de restauration, et de nombreux autres outils de ligne de commande pour la résolution des problèmes.

L'installation de WinRE sous forme d'option de démarrage dans le serveur est recommandée en cas de défaillance du système d'exploitation principal. Vous pourrez ainsi démarrer directement WinRE sans avoir besoin du support d'installation de Windows Server 2008.

Vous obtiendrez davantage d'informations sur l'environnement WinRE et sur les autres outils de cette diapositive dans l'article répertorié à la section « Lectures complémentaires ».

Lectures complémentaires • Présentation de la sauvegarde et de la restauration sous Windows Server 2008


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Options de restauration d'Active Directory

Points clés Lorsqu'un contrôleur de domaine ou son annuaire est corrompu, endommagé ou défaillant, plusieurs options vous permettent de restaurer le système.

La première de ces options est appelée « restauration normale » ou « restauration ne faisant pas autorité ». Lors d'une opération de restauration normale, vous restaurez une sauvegarde d'Active Directory à une date que vous savez appropriée. Vous restaurez efficacement le contrôleur de domaine à un moment précis du passé. Lorsque AD DS redémarre le contrôleur de domaine, ce dernier contacte ses partenaires de réplication et demande toutes les mises à jour qui ont suivi. Efficacement, le contrôleur de domaine « rattrape » le reste du domaine via les mécanismes de réplication habituels.

La restauration normale est utile lorsque l'annuaire d'un contrôleur de domaine a été endommagé ou corrompu mais que le problème n'a pas atteint les autres contrôleurs de domaine. Que se passe-t-il par contre lorsque le problème a déjà été répliqué ? Par exemple, que se passe-t-il si vous supprimez des objets et que cette suppression a été répliquée ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Dans ce cas, la restauration normale ne suffit pas. Si vous restaurez une bonne version d'Active Directory et que vous redémarrez le contrôleur de domaine, la suppression (survenue après la sauvegarde) est de nouveau répliquée dans le contrôleur domaine et vous vous retrouvez au point de départ.

C'est ici que la restauration faisant autorité est nécessaire. Avec la restauration faisant autorité, vous restaurez la version appropriée d'Active Directory comme dans le cas d'une restauration normale. Cependant, avant de redémarrer le contrôleur de domaine, vous désignez les objets à conserver (ceux qui ont été supprimés accidentellement) comme faisant autorité de sorte qu'ils soient répliqués à partir du contrôleur de domaine restauré vers ses partenaires de réplication. En coulisses, lorsque des objets sont désignés comme faisant autorité, Windows incrémente fortement le numéro de version de tous les attributs d'objet pour que ce numéro soit obligatoirement supérieur à celui de tous les autres contrôleurs de domaine. Lorsqu'il redémarre, le contrôleur de domaine restauré réplique toutes les modifications apportées à l'annuaire à partir de ses partenaires de réplication, mais signale également à ces derniers qu'il a changé. Grâce aux numéros de version, les partenaires récupèrent alors les modifications et les répliquent dans tout le service d'annuaire.

La troisième option de restauration du service d'annuaire consiste à restaurer le contrôleur de domaine dans son intégralité. Cette opération consiste à démarrer l'environnement de récupération Windows et à restaurer le contrôleur de domaine à partir d'une sauvegarde complète du serveur. Par défaut, il s'agit d'une restauration normale. Si vous devez également désigner des objets comme faisant autorité, redémarrez le serveur en mode Restauration des services d'annuaire et définissez ces objets comme faisant autorité avant de démarrer le contrôleur de domaine en fonctionnement normal.

Enfin, vous pouvez restaurer une sauvegarde de l'état du système dans un autre emplacement. Cette opération vous permet d'examiner les fichiers et, éventuellement, de monter le fichier NTDS.dit selon les instructions de la leçon précédente. Dans tous les cas, ne remplacez jamais les fichiers des versions de production par les fichiers issus d'un autre emplacement de restauration. N'effectuez jamais de restauration fragmentaire d'Active Directory. Cette option permet également d'utiliser l'option Installation à partir du support pour créer un nouveau contrôleur de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Restauration ne faisant pas autorité

Points clés Pour effectuer une restauration d'Active Directory faisant ou non autorité, vous devez disposer d'un accès complet aux fichiers du contrôleur de domaine. Cela implique de redémarrer le contrôleur de domaine en mode Restauration des services d'annuaire (DSRM).

Si vous redémarrez un contrôleur de domaine localement, appuyez sur la touche F8 au démarrage et choisissez le mode Restauration des services d'annuaire dans le menu de démarrage.

Vous pouvez également configurer le contrôleur de domaine pour qu'il redémarre automatiquement en mode Restauration des services d'annuaire (DSRM). Servez-vous de cette méthode si vous accédez au contrôleur de domaine à distance via le Bureau à distance.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour configurer un contrôleur de domaine pour qu'il redémarre en mode Restauration des services d'annuaire :

1. Ouvrez une invite de commande élevée, tapez la commande suivante et appuyez sur Entrée :

bcdedit /set safeboot dsrepair

2. Tapez la commande suivante, puis appuyez sur Entrée :

shutdown -t 0 -r

3. Pour redémarrer le serveur normalement une fois l'opération de restauration terminée, tapez la commande suivante, puis appuyez sur Entrée :

bcdedit /deletevalue safeboot dsrepair shutdown -t 0 -r

Lorsque vous démarrez un contrôleur de domaine en mode Restauration des services d'annuaire, vous devez vous connecter en tant qu'Administrateur avec le mot de passe DSRM.

Vous pouvez alors utiliser la fonctionnalité Sauvegarde de Windows Server pour restaurer la base de données de l'annuaire.

1. Ouvrez une invite de commande.

2. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 et appuyez sur Entrée.

Où D: est le volume dans lequel sont stockées les sauvegardes et HQDC01, le nom du contrôleur de domaine que vous restaurez.

3. Notez les informations renvoyées sur les versions.

4. Tapez wbadmin start systemstaterecovery -version:version, (où version est le numéro enregistré à l'étape précédente), puis appuyez sur Entrée.

5. Tapez Y, puis appuyez sur Entrée.

Lorsque l'opération de restauration est terminée, redémarrez le serveur. Le contrôleur de domaine « rattrapera » le reste du domaine en récupérant les modifications apportées à l'annuaire depuis la date de la sauvegarde auprès de ses partenaires de réplication.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Restauration faisant autorité

Points clés La plupart des procédures impliquées dans une restauration faisant autorité sont les mêmes que pour une restauration ne faisant pas autorité.

Commencez par redémarrer le contrôleur de domaine en mode Restauration des services d'annuaire. Ouvrez une session avec le compte Administrateur et le mot de passe DSRM. Restaurez l'annuaire avec la fonctionnalité Sauvegarde de Windows Server selon les instructions de la diapositive précédente.

Toutefois, avant de redémarrer le contrôleur de domaine, vous devez désigner les objets que vous souhaitez conserver après le redémarrage comme faisant autorité, c'est-à-dire les objets supprimés que vous tentez de restaurer.

Pour désigner un objet comme faisant autorité, entrez les commandes suivantes à l'invite :

ntdsutil authoritative restore restore object "nom unique de l'objet"

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour désigner une unité d'organisation ou un conteneur et tous ses sous-objets comme faisant autorité, entrez les commandes suivantes à l'invite :

ntdsutil authoritative restore restore subtree "nom unique de l'objet"

Redémarrez le contrôleur de domaine. Le contrôleur de domaine récupère les modifications apportées à l'annuaire depuis la date de la sauvegarde auprès de ses partenaires de réplication. Toutefois, un numéro de version très élevé a été attribué à tous les attributs des objets désignés comme faisant autorité. Ces objets seront donc répliqués à partir du contrôleur de domaine restauré vers le reste du service d'annuaire.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique C : Sauvegarde et restauration d'Active Directory

Scénario En tant qu'administrateur de Contoso, la sauvegarde du service d'annuaire vous incombe. Aujourd'hui, vous avez remarqué que la sauvegarde de la nuit précédente ne s'est pas exécutée comme prévu. Vous avez donc décidé d'effectuer une sauvegarde interactive. Peu de temps après la sauvegarde, un administrateur de domaine a accidentellement supprimé l'unité d'organisation Employees. Par chance, la sauvegarde que vous venez d'effectuer vous permet de restaurer cette unité d'organisation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Sauvegarde d'Active Directory Dans cet exercice, vous allez installer la fonctionnalité de sauvegarde de Windows Server et l'utiliser pour planifier une sauvegarde d'Active Directory. Vous allez également effectuer une sauvegarde interactive du volume système.



2. Installer la fonctionnalité Sauvegarde de Windows Server.

3. Créer une sauvegarde planifiée.

4. Exécuter une sauvegarde interactive.

Tâche 1 : Préparation de l'atelier pratique Les ordinateurs virtuels ont déjà dû être démarrés lors des Ateliers pratiques A et B. Toutefois, s'ils ont été arrêtés, procédez comme suit :



Tâche 2 : Installation de la fonctionnalité Sauvegarde de Windows Server 1. Dans HQDC01, exécutez le Gestionnaire de serveur en tant qu'administrateur,


2. Installez toutes les fonctionnalités de Sauvegarde de Windows Server.

Tâche 3 : Création d'une sauvegarde planifiée 1. Exécutez la Sauvegarde de Windows Server avec des informations

d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Dans le volet Actions, cliquez sur le lien Planification de sauvegarde.

L'Assistant Planification de sauvegarde apparaît.

3. Dans la page Mise en route, cliquez sur Suivant.

4. Dans la page Sélectionner la configuration de la sauvegarde, cliquez sur Personnalisé, puis sur Suivant.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


5. Dans la page Sélectionner les éléments de sauvegarde, désactivez la case à cocher 6238B (D:), puis cliquez sur Suivant.

6. Dans la page Spécifiez l'heure de la sauvegarde, sélectionnez Tous les jours.

7. Dans la liste Sélectionner une heure, sélectionnez 12 h 00.

8. Cliquez sur Suivant.

9. Dans la page Sélectionner le disque de destination, cliquez sur Afficher tous les disques disponibles.

La boîte de dialogue Afficher tous les disques disponibles apparaît.

10. Cochez la case Disque 1, puis cliquez sur OK.

11. Dans la page Sélectionner le disque de destination, cochez la case Disque 1, puis cliquez sur Suivant.

La boîte de dialogue Sauvegarde de Windows Server qui s'affiche vous signale que toutes les données du disque vont être supprimées.

12. Cliquez sur Oui pour continuer.

13. Dans la page Nommer le disque de destination, cliquez sur Suivant.

14. Dans la page Confirmation, cliquez sur Annuler pour éviter le formatage du lecteur D.

Tâche 4 : Exécution d'une sauvegarde interactive 1. Dans le volet Actions de la fenêtre Sauvegarde de Windows Server, cliquez sur

Sauvegarde unique.

2. Configurez la sauvegarde pour utiliser les paramètres suivants :

• Type de sauvegarde : Personnalisée

• Éléments de sauvegarde : Lecteur C: uniquement avec l'option Activer la récupération du système

• Option avancée : Sauvegarde complète VSS

3. La sauvegarde prend approximativement 10 à 15 minutes. Lorsque la sauvegarde est terminée, fermez l'utilitaire de sauvegarde de Windows Server.

Résultats : Au terme de cet exercice, vous aurez installé la fonctionnalité Sauvegarde de Windows Server, vous l'aurez utilisée pour planifier la sauvegarde des informations des services de domaine Active Directory et pour effectuer une sauvegarde interactive.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Restauration d'Active Directory ou d'une unité d'organisation supprimée Dans cet exercice, vous allez effectuer une restauration faisant autorité de la base de données AD DS. Vous vérifierez ensuite que les données ont bien été restaurées.

Les principales tâches sont les suivantes :

1. Suppression de l'unité d'organisation Employees

2. Redémarrage en mode Restauration des services d'annuaire (DSRM)

3. Restauration des données de l'état du système

4. Désignation des informations restaurées comme faisant autorité et redémarrage du serveur

5. Vérification de la restauration des données supprimées

Tâche 1 : Suppression de l'unité d'organisation Employees 1. Exécutez Utilisateurs et ordinateurs Active Directory en tant


2. Supprimez l'unité d'organisation Contractors de l'unité d'organisation User Accounts.

3. Dans HQDC02, exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

4. Vérifiez que le contrôleur de domaine a bien répliqué la suppression de l'unité d'organisation Contractors.

Tâche 2 : Redémarrage en mode Restauration des services d'annuaire (DSRM) 1. Dans HQDC01, exécutez l'invite de commande en tant qu'administrateur, avec

le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Tapez bcdedit /set safeboot dsrepair pour configurer le serveur pour qu'il démarre en mode Restauration des services d'annuaire.

3. Redémarrez HQDC01.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Restauration des données de l'état du système 1. Ouvrez une session en tant qu'Administrateur avec le mot de passe

Pa$$w0rd.

2. Exécutez l'invite de commande en tant qu'administrateur.

3. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 pour obtenir les informations de version de la sauvegarde.

4. Restaurez les informations d'état du système en tapant wbadmin start systemstaterecovery -version:version -backuptarget:D: -machine:HQDC01.

C'est-à-dire wbadmin start systemstaterecovery -version:10/14/2009-01:11 -backuptarget:D: -machine:HQDC01.

La restauration prend 30 à 35 minutes environ.

Tâche 4 : Désignation des informations restaurées comme faisant autorité et redémarrage du serveur 1. À l'invite de commande, utilisez NTDS pour effectuer une restauration faisant

autorité de “OU=Contractors,OU=User Accounts,DC=contoso,DC=com”.

2. Pour redémarrer le serveur normalement après l'opération de restauration, tapez bcdedit /deletevalue safeboot, puis appuyez sur Entrée.

3. Redémarrez le serveur.

Tâche 5 : Vérification de la restauration des données supprimées 1. Après le redémarrage du serveur, ouvrez une session avec le nom d'utilisateur


2. Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

3. Dans HQDC02, actualisez l'affichage de Utilisateurs et ordinateurs Active Directory. Vérifiez que l'unité d'organisation Contractors a également été restaurée dans ce contrôleur de domaine.

Résultats : Au terme de cet exercice, vous aurez effectué une restauration faisant autorité des données Active Directory pour récupérer une unité d'organisation accidentellement supprimée.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT




Question : Quel type de plan de sauvegarde des contrôleurs de domaine et du service d'annuaire utilisez-vous ? Qu'envisagez-vous d'utiliser après avoir étudié cette leçon et terminé cet atelier ?

Question : Lorsque vous restaurez un utilisateur supprimé (ou une unité d'organisation comprenant des objets utilisateur) par l'intermédiaire d'une restauration faisant autorité, les objets sont-ils exactement les mêmes qu'auparavant ? Quels attributs peuvent être différents ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT

Gestion de plusieurs domaines et forêts 14-1

Module 14 Gestion de plusieurs domaines et forêts

Table des matières : Leçon 1 : Configuration des niveaux fonctionnels des domaines et des forêts 14-4

Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forêts 14-16

Leçon 2 : Gestion de plusieurs domaines et des relations d'approbation 14-23

Atelier pratique B : Administration d'une relation d'approbation 14-70

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



Au cours du Module 1, vous avez appris que les services de domaine Active Directory (AD DS) fournissaient la base d'une solution de gestion des identités et des accès, et vous avez étudié la création d'une infrastructure AD DS simple, constituée d'une seule forêt et d'un seul domaine. Dans les modules suivants, vous avez étudié de manière approfondie la gestion d'un environnement AD DS. Vous êtes à présent prêt à revenir au plus haut niveau d'une infrastructure AD DS pour étudier le modèle et les fonctionnalités de vos domaines et forêts. Dans ce module, vous allez apprendre à élever les niveaux fonctionnels des domaines et des forêts dans votre environnement, à concevoir l'infrastructure AD DS optimale pour votre entreprise, à faire migrer des objets entre des domaines et des forêts et à autoriser une authentification et un accès aux ressources entre plusieurs domaines et forêts.


• comprendre les niveaux fonctionnels des domaines et des forêts ;

• élever les niveaux fonctionnels des domaines et des forêts ;

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• identifier les fonctions ajoutées par chaque niveau fonctionnel ;

• concevoir un domaine et une arborescence de domaine efficaces pour AD DS ;

• identifier le rôle de l'Outil de migration Active Directory et les problèmes liés à la migration d'objet, et à la restructuration de domaine ;

• comprendre les relations d'approbation ;

• configurer, administrer et sécuriser les relations d'approbation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 1 Configuration des niveaux fonctionnels d'un domaine et d'une forêt

L'introduction de contrôleurs de domaine Windows Server® 2008 dans vos domaines et votre forêt vous permet de tirer parti des nouvelles capacités du service d'annuaire Active Directory. Les niveaux fonctionnels des domaines et des forêts sont les modes d'exploitation des domaines et des forêts, respectivement. Ces niveaux fonctionnels déterminent les versions de Windows® que vous pouvez utiliser comme contrôleurs de domaine et la disponibilité des fonctionnalités d'Active Directory.


• comprendre les niveaux fonctionnels des domaines et des forêts ;

• élever les niveaux fonctionnels des domaines et des forêts ;

• identifier les fonctions ajoutées par chaque niveau fonctionnel ;

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement des niveaux fonctionnels

Points clés Les niveaux fonctionnels sont comme des commutateurs qui activent les nouvelles fonctionnalités offertes par chaque version de Windows. Windows Server 2003 a ajouté plusieurs fonctionnalités à Active Directory et Windows Server 2008 poursuit l'évolution des Services de domaine Active Directory (AD DS). Ces fonctionnalités n'offrant pas de compatibilité descendante, si certains de vos contrôleurs de domaine exécutent Windows 2000 Server, vous ne pouvez pas activer les fonctionnalités offertes par les versions ultérieures de Windows. Les fonctionnalités les plus récentes sont désactivées. De la même façon, tant que tous les contrôleurs de domaine n'exécutent pas Windows Server 2008, vous ne pouvez pas implémenter les améliorations de ce dernier dans AD DS. L'élévation du niveau fonctionnel dépend de deux exigences majeures :

1. Tous les contrôleurs de domaine doivent exécuter la version appropriée de Windows Server.

2. Vous devez élever manuellement le niveau fonctionnel. Cela n'est pas automatiquement effectué.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


N'oubliez pas que seuls les contrôleurs de domaine déterminent votre capacité à définir un niveau fonctionnel. Les stations de travail et les serveurs membres peuvent exécuter n'importe quelle version de Windows au sein d'un domaine ou d'une forêt à n'importe quel niveau fonctionnel.

Il est important de noter que l'élévation d'un niveau fonctionnel est une opération à sens unique : vous ne pouvez pas abaisser le niveau fonctionnel d'un domaine ou d'une forêt. Par conséquent, après avoir élevé le niveau fonctionnel du domaine pour le définir par exemple sur Windows Server 2008, vous ne pouvez plus ajouter par la suite, dans le même domaine, de contrôleurs de domaine fonctionnant sous Windows Server 2003.

Il est également important de noter que, bien qu'une forêt puisse contenir des domaines fonctionnant à différents niveaux fonctionnels, dès que le niveau fonctionnel de la forêt a été élevé, il n'est plus possible d'ajouter un contrôleur de domaine exécutant une version antérieure de Windows dans aucun des domaines de la forêt.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Niveaux fonctionnels des domaines

Points clés Le niveau fonctionnel du domaine affecte les fonctionnalités Active Directory disponible dans ce domaine et détermine les versions de Windows prises en charge pour les contrôleurs du domaine. Dans les versions précédentes de Windows, les modes et les niveaux fonctionnels de domaine, ainsi nommés sous Windows 2000 Server, prenaient en charge les contrôleurs de domaine exécutant Windows NT® 4.0. Cette prise en charge a pris fin avec Windows Server 2008. Tous les contrôleurs de domaine doivent exécuter Windows 2000 Server ou une version ultérieure pour que vous puissiez ajouter le premier contrôleur de domaine Windows Server 2008 dans le domaine. Sous Windows Server 2008, Active Directory prend en charge trois niveaux fonctionnels de domaine :

• Windows 2000 natif

• Windows Server 2003


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Windows 2000 natif

Le niveau fonctionnel de domaine Windows 2000 natif est le plus bas niveau fonctionnel prenant en charge un contrôleur de domaine Windows Server 2008. Les systèmes d'exploitation suivants sont pris en charge pour les contrôleurs de domaine :

• Windows 2000 Server



Si certains de vos contrôleurs de domaine exécutent Windows 2000 Server ou Windows Server 2003, ou si vous envisagez d'en ajouter un ou plusieurs exécutant ces versions précédentes de Windows, il est préférable de conserver le niveau fonctionnel Windows 2000 natif pour le domaine.

Windows Server 2003

Dès que tous les contrôleurs de domaine exécutant Windows 2000 Server ont été supprimés ou mis à niveau, le niveau fonctionnel du domaine peut être élevé à Windows Server 2003. À ce niveau fonctionnel, le domaine ne peut plus prendre en charge les contrôleurs de domaine exécutant Windows 2000 Server. Tous les contrôleurs de domaine doivent donc exécuter l'un des deux systèmes d'exploitation suivants :



Le niveau fonctionnel de domaine Windows Server 2003 ajoute un certain nombre de nouvelles fonctionnalités à celles offertes par le niveau fonctionnel Windows 2000 natif. Notamment :

• Modification du nom des contrôleurs de domaine : l'outil de gestion des domaines, netdom.exe, permet de renommer des contrôleurs de domaine.

• Attribut lastLogonTimestamp : lorsqu'un utilisateur ou un ordinateur se connecte au domaine, l'attribut lastLogonTimestamp est mis à jour en fonction de l'heure de connexion. Cet attribut est répliqué au sein du domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Attribut userPassword : les entités de sécurité d'Active Directory comprennent des utilisateurs, des ordinateurs et des groupes. Une quatrième classe d'objets, inetOrgPerson, est similaire à un utilisateur et permet d'intégrer plusieurs services d'annuaire non Microsoft. Au niveau fonctionnel de domaine Windows Server 2003, vous pouvez définir l'attribut userPassword comme mot de passe effectif sur les objets inetOrgPerson et utilisateur. Cet attribut est en écriture seule. Vous ne pouvez pas récupérer le mot de passe à partir de l'attribut userPassword.

• Redirection des conteneurs d'utilisateurs et d'ordinateurs par défaut : au cours du Module 5, vous avez appris que les commandes redirusr.exe et redircmp.exe vous permettaient de rediriger les conteneurs d'utilisateurs et d'ordinateurs par défaut. Cette redirection entraîne la création de nouveaux comptes dans des unités d'organisation spécifiques et non plus dans les conteneurs Utilisateurs et Ordinateurs.

• Stratégies du Gestionnaire d'autorisations : l'outil Gestionnaire d'autorisations, qui permet aux applications de fournir une autorisation, peut stocker ses stratégies d'autorisation dans AD DS.

• Délégation contrainte : les applications peuvent tirer parti de la délégation sécurisée des informations d'identification des utilisateurs grâce au protocole d'authentification Kerberos. Vous pouvez limiter la délégation à des services de destination spécifiques uniquement.

• Authentification sélective : dans la Leçon 2 de ce module, vous apprendrez à créer des relations d'approbation entre votre domaine et un autre domaine ou une autre forêt. L'authentification sélective vous permet de désigner les utilisateurs et les groupes d'une forêt ou d'un domaine approuvé(e) qui sont autorisés à s'authentifier auprès des serveurs de votre forêt.

• Contrôleurs de domaine en lecture seule (RODC) : pour qu'un contrôleur de domaine en lecture seule puisse être ajouté, le niveau fonctionnel du domaine doit être défini sur Windows Server 2003. Vous devez en outre exécuter la commande adprep /rodcprep, et au moins un contrôleur de domaine Windows Server 2003 inscriptible doit être en place.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Windows Server 2008

Lorsque tous les contrôleurs de domaine exécutent Windows Server 2008 et lorsque vous savez que vous n'aurez pas besoin d'ajouter des contrôleurs de domaine exécutant des versions précédentes de Windows, vous pouvez élever le niveau fonctionnel du domaine pour le définir sur Windows Server 2008. Le niveau fonctionnel de domaine Windows Server 2008 ne prend en charge que les contrôleurs de domaine exécutant un seul système d'exploitation :


Le niveau fonctionnel de domaine Windows Server 2008 ajoute quatre fonctionnalités AD DS à l'échelle du domaine :

• Réplication DFSR du dossier SYSVOL : au cours du Module 11, vous avez appris à configurer le volume SYSVOL de sorte qu'il soit répliqué avec la réplication DFSR et non plus par le service de réplication de fichiers (FRS). La réplication DFSR du contenu du dossier SYSVOL est plus robuste et plus détaillée.

• Services de chiffrement avancés : la prise en charge des Services de chiffrement avancés (AES 128 et 256) pour le protocole Kerberos permet de renforcer la sécurité de l'authentification. AES remplace l'algorithme de chiffrement RC4-HMAC (Hash Message Authentication Code).

• Dernières informations de connexion interactives : lorsqu'un utilisateur ouvre une session sur le domaine, plusieurs attributs de l'objet utilisateur sont mis à jour en fonction de l'heure, de la station de travail utilisée par l'utilisateur et du nombre d'échecs de tentative de connexion depuis la dernière ouverture de session.

• Stratégies de mots de passe affinées : au cours du Module 8, vous avez appris que des stratégies de mot de passe affinées vous permettaient de définir des stratégies de mots de passe uniques pour les utilisateurs ou les groupes du domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Augmenter le niveau fonctionnel du domaine

Vous pouvez élever le niveau fonctionnel du domaine lorsque tous ses contrôleurs de domaine exécutent une version prise en charge de Windows et lorsque vous savez que vous n'aurez pas besoin d'ajouter des contrôleurs de domaine exécutant des versions non prises en charge de Windows. Pour élever le niveau fonctionnel du domaine, ouvrez le composant logiciel enfichable Domaines et approbations Active Directory, cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine. La boîte de dialogue qui s'affiche vous permet de sélectionner un niveau fonctionnel de domaine plus élevé.

Remarque : il s'agit d'une opération à sens unique. L'augmentation du niveau fonctionnel du domaine est une opération unidirectionnelle. Vous ne pouvez plus revenir au niveau fonctionnel précédent.

Vous pouvez également élever le niveau fonctionnel du domaine à l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine ou cliquez du bouton droit sur le nœud racine du composant logiciel enfichable et choisissez Augmenter le niveau fonctionnel du domaine dans le menu Toutes les tâches.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Niveaux fonctionnels des forêts

Points clés De la même façon que les niveaux fonctionnels de domaine autorisent certaines fonctionnalités à l'échelle du domaine et déterminent les versions de Windows prises en charge pour les contrôleurs du domaine, les niveaux fonctionnels de forêt autorisent des fonctionnalités à l'échelle de la forêt et déterminent les systèmes d'exploitation pris en charge pour les contrôleurs de domaine de l'ensemble de la forêt. Sous Windows Server 2008, Active Directory prend en charge trois niveaux fonctionnels de forêt :

• Windows 2000



Chaque niveau fonctionnel est détaillé dans les sections suivantes.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Windows 2000

Le niveau fonctionnel de forêt Windows 2000 est le niveau de base, défini par défaut. Au niveau fonctionnel Windows 2000, les domaines peuvent s'exécuter à n'importe quel niveau fonctionnel de domaine pris en charge :

• Windows 2000 natif



Vous pouvez élever le niveau fonctionnel de la forêt lorsque tous ses domaines ont été élevés au niveau fonctionnel de domaine équivalent.

Windows Server 2003

Lorsque tous les domaines de la forêt sont au niveau fonctionnel de domaine Windows Server 2003 et que vous n'envisagez pas d'ajouter de nouveaux domaines comprenant des contrôleurs de domaine Windows 2000 Server, vous pouvez augmenter le niveau fonctionnel de la forêt à Windows Server 2003. À ce niveau fonctionnel de forêt, les domaines peuvent s'exécuter aux niveaux fonctionnels de domaine suivants :



Le niveau fonctionnel de forêt Windows Server 2003 active les fonctionnalités suivantes :

• Approbations de forêt : vous apprendrez à créer des relations d'approbation entre des forêts à la Leçon 2.

• Changement du nom des domaines : vous pouvez renommer un domaine dans une forêt.

• Réplication des valeurs liées : au niveau fonctionnel de forêt Windows 2000, la modification de l'appartenance à un groupe entraîne la réplication de la totalité de l'attribut Membre à plusieurs valeurs du groupe. Cela peut conduire à une augmentation du trafic de réplication sur le réseau et à une perte potentielle des mises à jour de l'appartenance lorsqu'un groupe est modifié simultanément dans plusieurs contrôleurs de domaine. Cela entraîne également un plafond conseillé de 5 000 membres par groupe. La réplication des valeurs liées, activée au niveau fonctionnel de forêt Windows Server 2003, réplique la modification individuelle de l'appartenance et non pas la totalité de l'attribut Membre. Cette opération consomme moins de bande passante et évite la perte des mises à jour lorsqu'un groupe est modifié simultanément dans plusieurs contrôleurs de domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Prise en charge des contrôleurs de domaine en lecture seule : les contrôleurs de domaine en lecture seule sont détaillés au Module 8. Ces contrôleurs sont pris en charge au niveau fonctionnel de forêt Windows Server 2003. Bien sûr, le contrôleur de domaine en lecture seule doit lui exécuter Windows Server 2008.

• Algorithmes et évolutivité améliorés du Vérificateur de cohérence des données (KCC) : le générateur de topologie intersites (ISTG) utilise des algorithmes qui permettent à AD DS de prendre en charge la réplication dans des forêts comprenant plus de 100 sites. Au niveau fonctionnel de forêt Windows 2000, vous devez intervenir manuellement pour créer des topologies de réplication pour les forêts comprenant des centaines de sites. De plus, le générateur ISTG utilise un algorithme plus efficace qu'au niveau fonctionnel de forêt Windows 2000.

• Conversion des objets inetOrgPerson en objets utilisateur : vous pouvez convertir une instance d'objet inetOrgPerson, utilisé pour la compatibilité avec certains services d'annuaire non Microsoft, en une instance d'utilisateur de classe. Vous pouvez également convertir un objet utilisateur en objet inetOrgPerson.

• Prise en charge de la classe auxiliaire dynamicObject : le schéma autorise des instances de la classe auxiliaire dynamique dans les partitions d'annuaire du domaine. Cette classe d'objets peut être utilisée par certaines applications et par les développeurs.

• Prise en charge des groupes de base d'applications et des groupes de requêtes LDAP : deux nouveaux types de groupe, appelés groupes de base d'applications et groupes de requêtes LDAP, permettent de prendre en charge l'autorisation à base de rôles dans les applications qui utilisent le Gestionnaire d'autorisations.

• Désactivation et redéfinition des attributs et des classes d'objets : bien que vous ne puissiez pas supprimer un attribut ou une classe d'objets dans le schéma, le niveau fonctionnel Windows Server 2003 permet de désactiver ou de redéfinir des attributs ou des classes d'objets.

Windows Server 2008

Le niveau fonctionnel de forêt Windows Server 2008 n'ajoute pas de nouvelles fonctionnalités à l'échelle de la forêt. Toutefois, dès que la forêt a atteint le niveau fonctionnel Windows Server 2008, les nouveaux domaines qui y sont ajoutés fonctionnent par défaut au niveau fonctionnel de domaine Windows Server 2008. À ce niveau fonctionnel de forêt, tous les domaines doivent être au niveau fonctionnel de domaine Windows Server 2008, c'est-à-dire qu'ils doivent tous exécuter Windows Server 2008.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Augmenter le niveau fonctionnel de la forêt

Pour élever le niveau fonctionnel de la forêt, utilisez le composant logiciel enfichable Domaines et approbations Active Directory. Cliquez du bouton droit sur le nœud racine du composant logiciel enfichable Domaines et approbations Active Directory et choisissez Augmenter le niveau fonctionnel de la forêt. La boîte de dialogue qui s'affiche vous permet de choisir un niveau fonctionnel de forêt plus élevé.

Élevez le niveau fonctionnel de la forêt uniquement si vous savez que vous n'ajouterez pas de nouveaux domaines à des niveaux fonctionnels de domaine non pris en charge. Vous ne pourrez plus revenir au niveau fonctionnel de forêt précédent après cette opération.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forêts

Scénario Vous êtes administrateur de domaine chez Tailspin Toys. Une succursale comprenait encore un contrôleur de domaine Windows 2000 et vous venez de le mettre à niveau vers Windows Server 2008. Vous souhaitez à présent tirer parti des fonctionnalités offertes par les niveaux fonctionnels supérieurs de domaine et de forêt.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Augmenter le niveau fonctionnel du domaine à Windows Server 2003 Dans cet exercice, vous allez tenter de profiter des capacités offertes par le niveau fonctionnel de domaine Windows Server 2003. Vous verrez que ces capacités ne sont pas prises en charge aux niveaux fonctionnels de domaine inférieurs. Vous augmenterez ensuite le niveau fonctionnel du domaine. Enfin, vous testerez ces capacités avancées afin de vérifier qu'elles sont à présent prises en charge.



2. Confirmer le niveau fonctionnel actuel Windows 2000 natif du domaine.

3. Tester les fonctionnalités non prises en charge par le niveau fonctionnel de domaine Windows 2000 natif.

4. Élever le niveau fonctionnel du domaine à Windows Server 2003.

5. Vérifier les fonctionnalités prises en charge par le niveau fonctionnel de domaine Windows Server 2003.

Tâche 1 : Préparation de l'atelier pratique • Démarrez 6238B-TSTDC01-A et ouvrez une session avec le nom d'utilisateur

Sara.Davis et le mot de passe Pa$$w0rd.

Tâche 2 : Confirmation du niveau fonctionnel actuel Windows 2000 natif du domaine 1. Dans TSTDC01, exécutez Domaines et approbations Active Directory en

tant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd.

2. Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows 2000 natif, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte de dialogue.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Test des fonctionnalités non prises en charge par le niveau fonctionnel de domaine Windows 2000 natif 1. Exécutez l'invite de commande en tant qu'administrateur avec le nom

d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd.

2. Tapez redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" et appuyez sur Entrée. Le message qui s'affiche indique que la redirection n'a pas réussi. Le fait que le niveau fonctionnel de domaine ne soit pas au moins Windows Server 2003 en est la raison.

3. Tapez redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" et appuyez sur Entrée. Le message qui s'affiche indique que la redirection n'a pas réussi. Le fait que le niveau fonctionnel de domaine ne soit pas au moins Windows Server 2003 en est la raison.

Tâche 4 : Augmenter le niveau fonctionnel de domaine à Windows Server 2003 • Dans Domaines et approbations Active Directory, élevez le domaine au


Tâche 5 : Vérification des fonctionnalités prises en charge par le niveau fonctionnel de domaine Windows Server 2003 1. Exécutez l'invite de commande en tant qu'administrateur avec le nom


2. Tapez redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" et appuyez sur Entrée. Le message qui s'affiche indique que la redirection a réussi.

3. Tapez redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" et appuyez sur Entrée. Le message qui s'affiche indique que la redirection a réussi.

Résultats : Au terme de cet exercice, vous aurez élevé le domaine au niveau fonctionnel Windows Server 2003 et vérifié que les nouvelles fonctionnalités sont activées.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Augmenter le niveau fonctionnel d'une forêt à Windows Server 2003 Dans cet exercice, vous allez tenter de profiter des capacités offertes par le niveau fonctionnel de forêt Windows Server 2003. Vous verrez que ces capacités ne sont pas prises en charge aux niveaux fonctionnels de forêt inférieurs. Vous élèverez ensuite le niveau fonctionnel de forêt. Enfin, vous testerez ces capacités avancées afin de vérifier qu'elles sont à présent prises en charge.


1. Confirmer le niveau fonctionnel actuel Windows 2000 natif de la forêt.

2. Tester les fonctionnalités non prises en charge par le niveau fonctionnel de forêt Windows 2000 natif.

3. Élever le niveau fonctionnel de forêt à Windows Server 2003.

4. Vérifier les fonctionnalités prises en charge par le niveau fonctionnel de forêt Windows Server 2003.

Tâche 1 : Confirmation du niveau fonctionnel actuel Windows 2000 natif de la forêt 1. Dans TSTDC01, exécutez Domaines et approbations Active Directory en


2. Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows 2000 natif, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte de dialogue.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 2 : Test des fonctionnalités non prises en charge par le niveau fonctionnel de forêt Windows 2000 natif 1. Exécutez Utilisateurs et ordinateurs Active Directory en tant

qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd.

2. Cliquez du bouton droit sur l'unité d'organisation Domain Controllers et tentez de créer un nouveau compte de contrôleur de domaine en lecture seule. Acceptez tous les paramètres définis par défaut dans l'Assistant Installation des services de domaine Active Directory.

Le système vous empêche de créer un compte de contrôleur de domaine en lecture seule et vous signale que le niveau fonctionnel de la forêt doit être au moins Windows Server 2003.

Tâche 3 : Augmenter le niveau fonctionnel de la forêt à Windows Server 2003 • Dans Domaines et approbations Active Directory, augmentez la forêt au


Tâche 4 : Vérification des fonctionnalités prises en charge par le niveau fonctionnel de forêt Windows Server 2003 • Dans Utilisateurs et ordinateurs Active Directory, créez un compte de

contrôleur de domaine en lecture seule nommé TSTDC03 dans l'unité d'organisation Domain Controllers. Acceptez toutes les valeurs définies par défaut dans l'Assistant Installation des services de domaine Active Directory.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Augmenter le niveau fonctionnel du domaine à Windows Server 2008 Dans cet exercice, vous allez tenter de profiter des capacités offertes par le niveau fonctionnel de domaine Windows Server 2008. Vous verrez que ces capacités ne sont pas prises en charge aux niveaux fonctionnels de domaine inférieurs. Vous augmenterez ensuite le niveau fonctionnel du domaine. Enfin, vous testerez ces capacités avancées afin de vérifier qu'elles sont à présent prises en charge.


1. Confirmer le niveau fonctionnel actuel inférieur à Windows Server 2008 pour le domaine.

2. Confirmer l'indisponibilité de la réplication DFSR pour les niveaux fonctionnels de domaine inférieurs à Windows Server 2008.

3. Augmenter le niveau fonctionnel du domaine.

4. Confirmer la disponibilité de la réplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine.

Tâche 1 : Confirmation du niveau fonctionnel actuel inférieur à Windows Server 2008 pour le domaine 1. Dans TSTDC01, exécutez Domaines et approbations Active Directory en


2. Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows Server 2003, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte de dialogue.

Tâche 2 : Confirmation de l'indisponibilité de la réplication DFSR pour les niveaux fonctionnels de domaine inférieurs à Windows Server 2008 1. Exécutez l'invite de commande en tant qu'administrateur avec le nom


2. Tapez dfsrmig /getglobalstate et appuyez sur Entrée. Le message qui s'affiche vous signale que la commande dfsrmig n'est prise en charge que par les domaines de niveau fonctionnel Windows Server 2008.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Augmenter le niveau fonctionnel du domaine • Dans Domaines et approbations Active Directory, élevez le domaine au


• Fermez Domaines et approbations Active Directory.

Tâche 4 : Confirmation de la disponibilité de la réplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine • Revenez à l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyez

sur Entrée. Le message qui s'affiche vous signale que la migration DFSR n'a pas encore été déclenchée. Cela signifie que cette fonctionnalité est à présent disponible, mais n'a pas encore été initialisée.

Résultats : Au terme de cet exercice, vous aurez élevé le domaine au niveau fonctionnel Windows Server 2008 et vérifié que les nouvelles fonctionnalités sont disponibles.

Remarque : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants.


Question : Pouvez-vous élever le domaine au niveau fonctionnel Windows Server 2008 lorsque votre serveur Microsoft Exchange exécute encore Windows Server 2003 ?

Question : Pouvez-vous élever un domaine au niveau fonctionnel Windows Server 2008 lorsque d'autres domaines contiennent des contrôleurs de domaine fonctionnant sous Windows Server 2003 ?

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Leçon 2 Gestion de plusieurs domaines et des relations d'approbation

Les modules précédents de ce cours vous ont préparé à configurer, administrer et gérer un seul domaine. Toutefois, l'infrastructure Active Directory de votre entreprise peut comprendre une forêt à plusieurs domaines ou même plusieurs forêts. Vous pouvez donc être amené à déplacer des objets entre des domaines ou à restructurer entièrement votre modèle de domaines. Vous pouvez également être amené à activer l'authentification et à accéder à des ressources parmi des domaines et des forêts. Dans cette leçon, vous allez acquérir les compétences nécessaires pour prendre en charge plusieurs domaines et forêts.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



• Concevoir une structure efficace de domaines et d'arborescences pour AD DS.

• Identifier le rôle de l'Outil de migration Active Directory et les problèmes liés à la migration d'objet et à la restructuration de domaine.

• Comprendre les relations d'approbation.

• Configurer, administrer et sécuriser les relations d'approbation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Définition de votre structure de forêts et de domaines

Points clés Avec vos acquis des modules précédents de ce cours, vous êtes prêt à concevoir votre forêt, vos arborescences et vos domaines Active Directory. De façon intéressante, les recommandations en matière de structure des forêts et des domaines ont évolué au fur et à mesure de la mise en production d'Active Directory par des entreprises du monde entier avec toutes les configurations imaginables et avec l'enrichissement du jeu de fonctionnalités Active Directory.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Domaine racine dédié à la forêt

Au tout début d'Active Directory, il était recommandé de créer un domaine racine dédié à la forêt. Vous avez vu au Module 1 que le domaine racine d'une forêt est le premier domaine de cette forêt. L'objectif exclusif du domaine racine dédié à la forêt est d'administrer l'infrastructure de la forêt. Il contient, par défaut, les opérations à maître unique de la forêt. Il contient également les groupes très sensibles, par exemple Administrateurs de l'entreprise et Administrateurs du schéma, dont l'impact sur la forêt peut être très important. En théorie, la racine dédiée à la forêt renforçait la sécurité des fonctions à l'échelle de cette forêt. Le domaine racine dédié à la forêt serait également moins susceptible de devenir obsolète et simplifierait le transfert de l'appartenance. Au-dessous de la racine dédiée à la forêt, selon les premières recommandations, un même domaine enfant global devait contenir tous les objets que l'on pouvait retrouver dans un domaine : utilisateurs, groupes, ordinateurs, etc. La structure ressemblerait à celle présentée dans la figure ci-dessous.

Forêt à un seul domaine

Remarque : désormais non recommandé pour la plupart des entreprises. L'implémentation d'un domaine racine dédié à la forêt n'est plus recommandée pour la plupart des entreprises. La forêt à un seul domaine est la recommandation la plus courante pour la conception. Comme il n'existe pas de conception unique convenant à toutes les organisations, vous devez examiner les caractéristiques de votre entreprise par rapport aux critères de conception décrits dans la suite de cette leçon.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Dix années de commercialisation ont permis de mieux comprendre Active Directory et l'ancienne recommandation n'est plus d'actualité. Pour la plupart des organisations, la conception d'une forêt à un seul domaine est à présent recommandée. Les expériences et les connaissances qui ont conduit à cette modification des directives comprennent les points suivants :

• Comme vous le verrez dans la suite de cette leçon, toute forêt à plusieurs domaines entraîne des risques et des coûts. Un domaine unique réduit les coûts du matériel et de l'assistance, de même que certains risques.

• Aucun outil ne permet encore à une entreprise de « tailler » et de « greffer » des arborescences Active Directory. En d'autres termes, vous ne pouvez pas retirer un domaine de votre arborescence et le transplanter dans la forêt d'une autre entreprise. Si cette opération était possible, une racine dédiée à la forêt dont vous pourriez assurer la gestion pendant le transfert des domaines vers et hors de votre forêt présenterait davantage d'intérêt.

• Vous pouvez implémenter une sécurité de privilège minimum dans un domaine unique au moins aussi sécurisé, voire plus, qu'une forêt dotée d'une racine dédiée et d'un domaine enfant.

Par conséquent, lorsque vous concevez votre domaine, partez de l'hypothèse que votre forêt comprendra un seul domaine.

Forêt à plusieurs domaines

Dans certains cas, une forêt à plusieurs domaines est indispensable. L'élément essentiel est de ne jamais créer de forêt à plusieurs domaines dans le seul but de refléter la structure organisationnelle de votre entreprise. Cette structure (les unités commerciales, les divisions, les départements et les bureaux) évoluera avec le temps. La structure logique de votre service d'annuaire ne doit pas dépendre uniquement des caractéristiques de l'organisation.

À l'inverse, votre modèle de domaines doit dériver des caractéristiques des domaines eux-mêmes. Certaines propriétés d'un domaine affectent l'ensemble des objets de ce domaine et lorsque cet effet uniforme ne répond pas aux exigences de votre entreprise, vous devez créer des domaines supplémentaires. Un domaine se caractérise par les éléments suivants :

• Partition de domaine unique, répliquée dans tous les contrôleurs de domaine : le contexte des noms de domaine contient les objets des utilisateurs, des ordinateurs, des groupes, des stratégies et des autres ressources du domaine. Il est répliqué dans tous les contrôleurs du domaine. Si la topologie de votre réseau implique un partitionnement de la réplication, vous devez créer des domaines distincts. N'oubliez cependant pas que la réplication Active Directory est extrêmement efficace et peut prendre en charge de très vastes domaines par l'intermédiaire de connexions à faible bande passante.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsque des obligations légales ou professionnelles limitent la réplication de certaines données dans les emplacements où vous assurez la gestion des contrôleurs de domaine, vous devez soit éviter de stocker ces données dans la partition du domaine, soit créer des domaines distincts pour isoler la réplication. Dans ce cas, vous devez également veiller à ce que le catalogue global (CG) ne réplique pas ces données.

Les problèmes juridiques et techniques liés à la réplication tendant à affecter le catalogue global et éventuellement d'autres magasins de données, les organisations concernées par ce type de problème se tournent de plus en plus vers des modèles à plusieurs forêts.

• Stratégie Kerberos unique : les paramètres de stratégie Kerberos par défaut d'AD DS suffisent pour la plupart des entreprises. Si, toutefois, vous avez besoin de stratégies Kerberos distinctes, vous aurez également besoin de domaines distincts.

• Espace de noms DNS unique : un domaine Active Directory n'a qu'un seul nom de domaine DNS. Si vous avez besoin de plusieurs noms de domaine, vous aurez besoin de plusieurs domaines. Envisagez toutefois soigneusement les coûts et les risques liés aux domaines multiples avant de modéliser les domaines de votre service d'annuaire en fonction d'exigences de noms DNS arbitraires.

Dans les domaines qui exécutent des niveaux fonctionnels de domaine inférieurs à Windows Server 2008, un domaine ne peut prendre en charge qu'une seule stratégie de mot de passe et de verrouillage des comptes. De ce fait, dans les versions précédentes de Windows, une organisation qui avait besoin de plusieurs stratégies de mot de passe avait également besoin de plusieurs domaines pour satisfaire cette exigence. Ce n'est plus le cas sous Windows Server 2008 qui, au niveau fonctionnel de domaine Windows Server 2008, peut prendre en charge des stratégies de mot de passe affinées.

L'ajout de domaines dans une forêt augmente les coûts d'administration et de matériel. Chaque domaine doit être pris en charge par au moins deux contrôleurs de domaine, ces derniers devant être sauvegardés, sécurisés et gérés. Dans une entreprise géographiquement distribuée, des contrôleurs de domaine supplémentaires peuvent encore se révéler nécessaires pour assurer l'accès aux ressources interdomaines. Les domaines supplémentaires peuvent impliquer le déplacement d'utilisateurs entre les domaines, opération bien plus complexe que le déplacement d'utilisateurs entre les unités d'organisation. Les objets de stratégie de groupe et les paramètres de contrôle d'accès communs dans l'entreprise doivent être dupliqués pour chaque domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Ce ne sont là que quelques-uns des coûts inhérents aux environnements à plusieurs domaines. Des risques de sécurité sont également liés aux domaines multiples. La plupart de ces risques sont dus au fait qu'un domaine n'est pas une barrière de sécurité : cette barrière de sécurité correspond à la forêt. Au sein d'une forêt, les administrateurs de services peuvent provoquer des dommages à l'échelle de la forêt. Plusieurs catégories de vulnérabilité permettent à un compte d'administration compromis, ou à un administrateur mal intentionné, de provoquer un déni de service ou d'endommager l'intégrité de la forêt.

Par exemple, tout administrateur de domaine peut créer des groupes universels, dont l'appartenance est répliquée dans le catalogue global. La création de plusieurs groupes universels et le surpeuplement de l'attribut Membre peuvent entraîner une réplication excessive, donc un déni de service dans les contrôleurs de domaine jouant le rôle de contrôleurs d'autres domaines. L'administrateur de tout domaine peut également restaurer une sauvegarde obsolète de l'annuaire, donc corrompre la forêt.

Lectures complémentaires • Pour plus d'informations sur les aspects de sécurité liés à la conception des

domaines et des forêts, consultez la rubrique « Recommandations pour la délégation de l'administration d'Active Directory » à l'adresse : http://go.microsoft.com/fwlink/?LinkId=168833

Important : du fait des coûts et des risques liés aux domaines multiples, la conception d'une forêt à un seul domaine est fortement recommandée. Les facteurs conduisant le plus souvent à des forêts à plusieurs domaines sont d'importantes conditions requises en matière de réplication du contexte des noms de domaine.

Dans une forêt à plusieurs domaines, il peut être judicieux de créer un domaine racine vide, dédié à la forêt et jouant le rôle de racine d'approbation pour la forêt. Les racines d'approbation sont traités dans la suite de cette leçon.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Arborescences multiples

N'oubliez pas qu'une arborescence est définie comme un espace de noms DNS contigu. Si vous avez plusieurs domaines, vous pouvez décider s'ils partagent un espace de noms DNS contigu et composent une seule arborescence, comme dans la première figure, ou s'ils sont placés dans un espace de noms DNS non contigu, composant ainsi plusieurs arborescences, comme dans la deuxième figure.

Forêts multiples

Une forêt est une instance d'Active Directory. Tous les domaines et tous les contrôleurs de domaine d'une forêt partagent les réplicas de la configuration et du schéma. Les contrôleurs de domaine qui sont également serveurs de catalogue global hébergent les jeux d'attributs partiels de tous les objets des autres domaines de la forêt. Les domaines d'une forêt partagent les approbations transitives bidirectionnelles. Cela signifie que tous les utilisateurs d'un domaine appartiennent à l'identité spéciale Utilisateurs authentifiés de tous les domaines. Les groupes Administrateurs de l'entreprise, Administrateurs du schéma et Administrateurs du domaine racine de la forêt exercent une influence importante sur tous les objets de la forêt.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsque l'une de ces caractéristiques d'une forêt contredit les exigences de votre entreprise, il est possible que plusieurs forêts soient nécessaires. En réalité, étant donné les problèmes de sécurité actuels, la plupart des consultants recommandent aux organisations de concevoir une forêt à un seul domaine ou d'utiliser plusieurs forêts. Les approbations entre forêts, traitées dans la suite de cette leçon, et les services ADFS (Active Directory Federation Services) simplifient la gestion de l'authentification dans les entreprises à plusieurs forêts.

Lectures complémentaires • Pour plus d'informations sur la planification de l'architecture d'une entreprise

AD DS, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168826.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Déplacement d'objets entre des domaines et des forêts

Points clés Dans les scénarios à plusieurs domaines, vous pouvez être amené à déplacer des utilisateurs, des groupes ou des ordinateurs entre des domaines ou des forêts pour assurer le fonctionnement de l'entreprise. Vous pouvez être amené à déplacer de grandes quantités d'utilisateurs, de groupes ou d'ordinateurs entre des domaines ou des forêts pour implémenter des fusions et acquisitions ou restructurer votre modèle de domaines.

Pour chacune de ces tâches, vous déplacez ou copiez les comptes d'un domaine (le domaine source) dans un autre domaine (le domaine cible). La terminologie, les concepts et les procédures de restructuration des domaines s'appliquent à la migration inter-forêts entre un domaine source Windows NT 4.0 ou Active Directory et un domaine cible Active Directory situé dans une forêt distincte, et à la migration intra-forêt, c'est-à-dire, la restructuration ou le déplacement de comptes entre les domaines d'une même forêt.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


La restructuration des domaines inter-forêts préserve le domaine source existant et les comptes clones (ou copies) du domaine cible. Cette méthode non destructrice permet à l'entreprise de prévoir la transition ou d'effectuer une migration par phases progressives. Les opérations ne sont pas interrompues car les deux domaines sont conservés en parallèle pour prendre en charge les opérations de leurs utilisateurs. Cette méthode offre également un certain niveau d'annulation car l'environnement d'origine demeure quasiment inchangé. Lorsque la migration est terminée, il vous suffit de désaffecter le domaine source en déplaçant les comptes, les stations de travail et les serveurs membres restants dans le nouveau domaine et en mettant les contrôleurs de domaine sources hors connexion. À ce stade, vous pouvez alors redéployer ces contrôleurs de domaine pour les rôles du nouveau domaine.

Une migration intra-forêt implique le déplacement des objets du domaine source vers le domaine cible sans désaffectation du domaine source. Lorsque la migration des objets est terminée, vous pouvez restructurer vos domaines pour regrouper les opérations et construire une structure de domaines et d'unités d'organisation reflétant plus fidèlement votre modèle d'administration. La plupart des organisations regroupent les différents domaines dans un même domaine Active Directory. Ce regroupement peut entraîner des économies de coûts et simplifier l'administration en réduisant la complexité administrative et le coût de la prise en charge de votre environnement Active Directory.

Fonctionnement de l'Outil de migration Active Directory (ADMT)

L'Outil de migration Active Directory version 3 (ADMT v3) peut effectuer des tâches de migration d'objets et de traduction de la sécurité. Vous pouvez télécharger l'outil ADMT v3 depuis la page http://go.microsoft.com/fwlink/?LinkID=75627. Vous y trouverez également un guide détaillé de cet outil.

Vous pouvez exploiter l'outil ADMT pour faire migrer des objets entre un domaine source et un domaine cible. La migration peut s'effectuer entre les domaines d'une même forêt (migration intra-forêt) ou entre les domaines de différentes forêts (migration inter-forêts). L'outil ADMT propose des Assistants qui automatisent les tâches de migration, par exemple la migration des utilisateurs, des groupes, des comptes de service, des ordinateurs et des approbations, et qui effectuent une traduction de la sécurité. Pour effectuer ces tâches, vous pouvez utiliser la console ADMT ou la ligne de commande, qui vous permet de simplifier et d'automatiser la commande admt.exe grâce à des fichiers d'options définissant les paramètres de la tâche de migration. Ensuite, à l'aide d'un simple fichier texte, vous pouvez dresser la liste des objets à migrer au lieu de devoir saisir chaque objet sur la ligne de commande. ADMT fournit également des interfaces qui vous permettent de créer des scripts de tâches de migration dans des langages comme VBScript (Microsoft Visual Basic® Scripting Edition). Exécutez la console ADMT et ouvrez la fonction d'aide en ligne pour plus d'informations sur l'utilisation de l'outil ADMT à partir de la ligne de commande et sur la création des scripts ADMT.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsque vous effectuez des tâches de migration, l'outil ADMT vous permet de simuler la migration afin d'évaluer les erreurs et les résultats potentiels sans modifier le domaine cible. Les Assistants proposent l'option Tester les paramètres de migration et effectuer celle-ci ultérieurement. Vous pouvez alors configurer la tâche de migration, tester ses paramètres et examiner les fichiers journaux et les rapports générés par l'Assistant. Après avoir identifié et résolu les problèmes éventuels, vous pouvez effectuer la tâche de migration. Vous répéterez cette procédure de test et d'analyse des résultats au fur et à mesure que vous effectuerez la migration des utilisateurs, des groupes et des ordinateurs et que vous effectuerez des traductions de la sécurité.

Identificateurs de sécurité et migration

La non interruption de l'accès aux ressources est le principal souci lors d'une migration. Mieux encore, pour effectuer une migration, vous devez connaître les concepts d'identificateurs de sécurité (SID), de jetons, de listes de contrôle d'accès (ACL) et d'attribut sIDHistory.

Les SID sont des valeurs uniques dans le domaine qui sont affectées aux comptes des entités de sécurité (utilisateurs, groupes et ordinateurs, par exemple) lors de la création de ces comptes. Lorsqu'un utilisateur ouvre une session, le jeton généré comprend le SID principal de l'utilisateur et les SID des groupes auxquels cet utilisateur appartient. Le jeton représente donc l'utilisateur, tous les SID qui lui sont associés et ses appartenances à des groupes.

Les ressources sont sécurisées par l'intermédiaire d'un descripteur de sécurité qui décrit les autorisations, les appartenances, les droits étendus et les audits de chaque ressource. Ce descripteur de sécurité comprend deux listes de contrôle d'accès (ACL). La liste de contrôle d'accès système (SACL) décrit les audits. La liste de contrôle d'accès discrétionnaire (DACL) décrit les autorisations d'accès aux ressources. Lorsqu'ils font référence à la liste ACL, la plupart des administrateurs et des documents font en fait référence à la liste DACL. La liste DACL répertorie les autorisations associées aux entités de sécurité. Dans cette liste, les entrées de contrôle d'accès individuelles (ACE) relient une autorisation spécifique au SID d'une entité de sécurité. L'ACE peut être l'autorisation Autoriser ou Refuser.

Lorsqu'un utilisateur tente d'accéder à une ressource, le sous-système LSA (Autorité de sécurité locale) compare les SID du jeton de l'utilisateur à ceux des ACE présentes dans la liste de contrôle d'accès de la ressource.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsque vous faites migrer des comptes vers un nouveau domaine, ils sont copiés ou clonés du domaine source vers le domaine cible. De nouveaux SID étant générés pour les comptes du domaine cible, les SID des nouveaux comptes ne correspondent pas aux SID des comptes du domaine source. Cela signifie que, même lorsque les comptes clonés ont le même nom et de nombreuses propriétés identiques, les SID étant différents d'un point de vue technique, ces comptes sont différents et n'auront pas accès aux ressources du domaine source. Deux méthodes permettent de résoudre ce problème : l'attribut sIDHistory ou la traduction de la sécurité.

Attribut sIDHistory

Les entreprises préfèrent généralement profiter de l'attribut sIDHistory pour restructurer efficacement leurs domaines. La casse, qui peut sembler étrange, reflète celle de l'attribut dans le schéma Active Directory. Une entité de sécurité Active Directory (qui peut être un utilisateur, un groupe ou un ordinateur) dispose d'un SID principal et d'un attribut sIDHistory, qui peut contenir un ou plusieurs SID également associés au compte. Lorsqu'un compte est copié dans un domaine cible, Active Directory génère le SID unique de l'entité dans ce domaine. L'attribut sIDHistory peut également être chargé avec le SID du compte dans le domaine source. Lorsqu'un utilisateur ouvre une session dans un domaine Active Directory, son jeton est renseigné avec le SID principal et l'attribut sIDHistory du compte utilisateur et des groupes auquel il appartient. Le sous-système LSA utilise les SID de l'attribut sIDHistory comme les autres SID du jeton pour maintenir l'accès de l'utilisateur aux ressources du domaine source.

Traduction de la sécurité

La traduction de la sécurité est le processus qui consiste à examiner le descripteur de sécurité de chaque ressource, y compris ses listes de contrôle d'accès, à identifier chaque SID faisant référence à un compte du domaine source et à remplacer ce SID par celui du compte dans le domaine cible. Le processus de réassociation des listes de contrôle d'accès (et des autres éléments du descripteur de sécurité) aux comptes migrés dans le domaine cible est également appelé régénération des listes de contrôle d'accès. Comme vous pouvez l'imaginer, la traduction de la sécurité ou la régénération des listes de contrôle d'accès serait un processus laborieux s'il était manuel, même dans l'environnement le plus simple. Les outils de migration tels qu'ADMT automatisent la traduction de la sécurité. L'outil ADMT peut traduire les descripteurs de sécurité et les stratégies des ressources du domaine source pour faire référence aux comptes correspondants dans le domaine cible. De façon plus spécifique, l'outil ADMT peut traduire les éléments suivants :

• Autorisations des fichiers et des dossiers

• Autorisations des imprimantes

• Autorisations de partage

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


• Autorisations du Registre

• Droits des utilisateurs

• Profils locaux, ce qui implique la modification des autorisations des fichiers, des dossiers et du Registre

• Appartenances aux groupes

Dans la plupart des projets de restructuration et de migration de domaines, l'attribut sIDHistory permet de maintenir l'accès et les fonctionnalités pendant la migration. La traduction de la sécurité est ensuite effectuée.

Lectures complémentaires • Pour plus d'informations sur la migration de domaines, les SID et leur

historique, consultez la rubrique « Guide de migration des domaines » (éventuellement en anglais) à l'adresse : http://go.microsoft.com/fwlink /?LinkId=168829

Appartenances aux groupes

Le dernier problème lié à l'accès aux ressources est l'appartenance aux groupes. Les groupes globaux peuvent uniquement contenir des membres issus du même domaine. Par conséquent, lorsque vous clonez un utilisateur dans le domaine cible, le nouveau compte d'utilisateur ne peut pas être membre des groupes globaux du domaine source auxquels le compte source appartenait.

Pour résoudre ce problème dans le cas d'une migration inter-forêts, commencez par faire migrer les groupes globaux vers le domaine cible. Ces groupes globaux conserveront les SID des groupes sources dans leurs attributs sIDHistory. L'accès aux ressources est ainsi préservé. Passez ensuite à la migration des utilisateurs. Lors de la migration des utilisateurs, l'outil ADMT évalue l'appartenance du compte source et ajoute le nouveau compte au même groupe dans le domaine cible. Si le groupe n'existe pas encore dans le domaine cible, l'outil ADMT peut le créer automatiquement. Pour finir, le compte d'utilisateur du domaine cible appartiendra aux groupes globaux du domaine cible. L'utilisateur et ses groupes contiendront les SID des comptes sources dans leurs attributs sIDHistory. L'utilisateur pourra donc accéder aux ressources du domaine source pour lesquelles des autorisations auront été accordées aux comptes sources.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Dans le cas d'une migration intra-forêt, le processus est différent. Un groupe global est créé en tant que groupe universel dans le domaine cible et peut ainsi contenir les utilisateurs des domaines source et cible. Le nouveau groupe obtient un nouveau SID, mais son attribut sIDHistory est renseigné par le SID du groupe global du domaine source, l'accès aux ressources du nouveau groupe étant ainsi préservé. Dès que tous les utilisateurs ont été migrés du domaine source vers le domaine cible, l'étendue du groupe redevient globale.

Autres problèmes de migration

Lorsque vous planifiez et exécutez la migration d'objets entre des domaines et des forêts, vous devez résoudre un certain nombre de problèmes. Chacun de ces problèmes est détaillé dans le guide de l'utilisateur de l'outil ADMT, disponible depuis la page de téléchargement d'ADMT mentionnée précédemment. Les problèmes les plus importants sont notamment les suivants :

• Migration des mots de passe : l'outil ADMT assure la migration des mots de passe utilisateur. Il ne peut cependant pas vérifier que ces mots de passe respectent les stratégies du domaine cible quant à leur longueur et leur complexité. La migration des mots de passe non vides est effectuée quelle que soit la stratégie de mots de passe du domaine cible, et les utilisateurs peuvent se connecter avec ces mots de passe jusqu'à leur expiration, date à laquelle un nouveau mot de passe conforme doit être créé. Si le verrouillage de l'environnement au moment de la migration vous pose un problème, ce processus peut ne pas vous convenir. Vous préféreriez sans doute que l'outil ADMT configure des mots de passe complexes ou scripte un mot de passe initial et oblige l'utilisateur à le modifier dès sa première ouverture de session.

• Comptes de service : les services des ordinateurs du domaine peuvent utiliser des comptes d'utilisateur basés sur le domaine pour l'authentification. Lors de la migration de ces comptes dans le domaine cible, la nouvelle identité des comptes de service doit être mise à jour. L'outil ADMT automatise ce processus.

• Objets dont la migration est impossible : la migration transparente de certains objets n'est pas possible. L'outil ADMT ne peut pas effectuer la migration des groupes intégrés, tels que Administrateurs du domaine ou Administrateurs locaux du domaine. Les instructions du guide de l'utilisateur permettent de contourner cette limite.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement des relations d'approbation

Points clés Dès que vous implémentez un scénario impliquant plusieurs domaines AD DS, l'utilisation de relations d'approbation ou d'approbations est probable. Il est donc important que vous compreniez l'objectif, les fonctionnalités et la configuration des relations d'approbation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Relations d'approbation au sein d'un domaine

Au cours du Module 1, vous avez vu ce qui arrive lorsqu'un serveur ou une station de travail membre d'un domaine rejoint un domaine. Tout en étant dans un groupe de travail, l'ordinateur conserve un magasin d'identités dans la base de données du gestionnaire de comptes de sécurité (SAM), authentifie les utilisateurs par rapport à ce magasin d'identités et sécurise les ressources du système en utilisant uniquement les identités issues de cette base de données SAM. Lorsque l'ordinateur rejoint un domaine, il établit une relation d'approbation avec ce dernier. L'effet de cette approbation est que l'ordinateur autorise l'authentification des utilisateurs, non plus par le système local et son magasin d'identités local, mais par les services d'authentification et le magasin d'identités du domaine : AD DS. Le membre du domaine autorise également la sécurisation des ressources du système par les identités du domaine. Par exemple, le groupe Utilisateurs du domaine est ajouté au groupe Utilisateurs local, ce qui lui permet de se connecter localement au système. De même, les comptes d'utilisateur et de groupe du domaine peuvent être ajoutés dans des listes de contrôle d'accès pour des fichiers, des dossiers, des clés de Registre et des imprimantes du système. Les mêmes relations d'approbation sont établies entre tous les membres du domaine et le domaine, ce qui fait de ce dernier un magasin central des identités et un service centralisé assurant l'authentification.

Relations d'approbation entre domaines

Sur cette base, vous pouvez étendre le concept de relations d'approbation à d'autres domaines. Une relation d'approbation entre deux domaines permet à un domaine d'approuver le service d'authentification et le magasin d'identités d'un autre domaine et d'utiliser ces identités pour sécuriser les ressources. Une relation d'approbation établit en effet un lien logique entre les domaines et autorise l'authentification directe.

Chaque relation d'approbation comprend deux domaines : le domaine autorisé à approuver et le domaine approuvé. Le domaine approuvé détient le magasin d'identités et assure l'authentification des utilisateurs dans ce magasin d'identités. Lorsqu'un utilisateur de l'annuaire du domaine approuvé ouvre une session ou se connecte à un système du domaine autorisé à approuver, ce dernier ne peut pas l'authentifier car il n'est pas dans son magasin. Il confie donc l'authentification à un contrôleur de domaine du domaine approuvé. Le domaine autorisé à approuver autorise par conséquent le domaine approuvé à authentifier l'identité de l'utilisateur. Le domaine autorisé à approuver étend l'approbation aux services d'authentification et au magasin d'identités du domaine approuvé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Comme le domaine autorisé à approuver approuve les identités du domaine approuvé, il peut utiliser les identités approuvées pour accorder l'accès aux ressources. Les utilisateurs d'un domaine approuvé peuvent se voir accorder des droits d'utilisateur, par exemple le droit d'ouvrir une session sur les stations de travail du domaine autorisé à approuver. Des utilisateurs ou des groupes globaux du domaine approuvé peuvent être ajoutés dans les groupes locaux du domaine autorisé à approuver. Des utilisateurs ou des groupes globaux du domaine approuvé peuvent se voir accorder des autorisations sur des dossiers partagés via l'ajout des identités dans les listes de contrôle d'accès du domaine autorisé à approuver.

La terminologie peut sembler confuse et il est souvent plus facile de comprendre les relations d'approbation en prenant un exemple concret. Le diagramme suivant présente une relation d'approbation simple. Le Domaine A approuve le Domaine B. Le Domaine A est donc le domaine autorisé à approuver et le Domaine B, le domaine approuvé. Lorsqu'un utilisateur du Domaine B se connecte ou ouvre une session sur un ordinateur du Domaine A, ce dernier transmet la demande d'authentification à un contrôleur de domaine du Domaine B. Le Domaine A peut également utiliser des identités du Domaine B (les utilisateurs et les groupes, par exemple) pour accorder des droits utilisateur et un accès aux ressources du Domaine A. Un utilisateur ou un groupe du Domaine B peut donc être ajouté dans une liste de contrôle d'accès à un dossier partagé du Domaine A. Un utilisateur ou un groupe du Domaine B peut également être ajouté dans un groupe local du Domaine A.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Caractéristiques des relations d'approbation

Points clés Les relations d'approbation entre domaines peuvent être représentées par trois attributs de l'approbation : la direction, la transitivité et l'approbation automatique ou manuelle.

Direction

Une relation d'approbation peut être unidirectionnelle ou bidirectionnelle. Dans une approbation unidirectionnelle, telle que celle illustrée ci-dessus, les utilisateurs du domaine approuvé peuvent être autorisés à accéder aux ressources du domaine autorisé à approuver. Cependant, les utilisateurs du domaine autorisé à approuver ne peuvent pas être autorisés à accéder aux ressources du domaine approuvé. Dans la plupart des cas, vous pouvez créer une seconde approbation unidirectionnelle de direction opposée pour résoudre ce problème. Vous pouvez par exemple créer une seconde relation d'approbation dans laquelle le Domaine B approuve le Domaine A. Certaines relations d'approbation sont bidirectionnelles par nature. Dans une approbation bidirectionnelle, les deux domaines approuvent les identités et les services d'authentification de l'autre domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Transitivité

Certaines approbations ne sont pas transitives, d'autres le sont. Dans la figure précédente, le Domaine A approuve le Domaine B et le Domaine B approuve le Domaine C. Si les approbations sont transitives, alors le Domaine A approuve le Domaine C. Si elles ne sont pas transitives, le Domaine A n'approuve pas le Domaine C. Dans la plupart des cas, vous pouvez créer une troisième relation d'approbation spécifiant que le Domaine A approuve le Domaine C. Les approbations transitives rendent inutile cette troisième approbation, car elle est implicite.

Approbation automatique ou manuelle

Certaines approbations sont créées automatiquement. D'autres doivent être créées manuellement.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Fonctionnement des approbations dans une forêt

Points clés Dans une forêt, tous les domaines s'approuvent mutuellement. Cela est dû au fait que le domaine racine de chaque arborescence d'une forêt approuve le domaine racine de la forêt (premier domaine installé dans cette forêt) et que chaque domaine enfant approuve son domaine parent. Les approbations créées automatiquement ne doivent jamais être supprimées et elles sont transitives et bidirectionnelles. Ainsi, un domaine approuve les magasins d'identités et les services d'authentification de tous les autres domaines de sa forêt. Les utilisateurs et les groupes globaux de n'importe quel domaine de la forêt peuvent être ajoutés aux groupes locaux du domaine, peuvent se voir accorder des droits d'utilisateurs et peuvent être ajoutés dans les listes de contrôle d'accès aux ressources de n'importe quel autre domaine de la forêt. Les approbations d'autres forêts et des domaines situés hors de la forêt doivent être établies manuellement. Ce résumé étant fait, vous pouvez examiner les détails des approbations au sein et hors d'une forêt Active Directory.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Protocoles d'authentification

Sous Windows Server 2008, Active Directory authentifie les utilisateurs par l'un des deux protocoles possibles : Kerberos version 5 (v5) ou NTLM. Le protocole Kerberos v5 est utilisé par défaut par les ordinateurs fonctionnant sous Windows Server 2008, Windows Vista®, Windows Server 2003, Windows XP et Windows 2000 Server. Lorsqu'un ordinateur impliqué dans une transaction d'authentification ne prend pas en charge le protocole Kerberos v5, le protocole NTLM le remplace. L'authentification NTLM peut être désactivée par les stratégies de groupe.

Authentification Kerberos dans un domaine

Lorsqu'un utilisateur ouvre une session sur un client exécutant Kerberos v5, la demande d'authentification est transmise à un contrôleur de domaine. Chaque contrôleur de domaine Active Directory joue le rôle de Centre de distribution de clés (KDC), composant central de Kerberos. Une fois l'identité de l'utilisateur validée, le centre KDC du contrôleur de domaine remet à l'utilisateur authentifié ce que l'on appelle un ticket TGT (ticket-granting ticket).

Lorsque l'utilisateur doit accéder aux ressources d'un ordinateur du même domaine, il doit d'abord obtenir un ticket de session valide pour cet ordinateur. Les tickets de session étant fournis par le centre KDC d'un contrôleur de domaine, l'utilisateur s'adresse à un contrôleur de domaine pour lui demander un ticket de session. L'utilisateur présente le ticket TGT comme preuve de son authentification préalable. Le centre KDC peut ainsi répondre à la demande de ticket de session de l'utilisateur sans authentifier à nouveau son identité. La demande de ticket de session de l'utilisateur spécifie l'ordinateur et le service auxquels cet utilisateur souhaite accéder. Le centre KDC s'aperçoit que le service est dans le même domaine grâce au nom principal de service (SPN) du serveur à l'origine de la demande. Le centre KDC remet alors à l'utilisateur un ticket de session pour ce service.

L'utilisateur se connecte ensuite au service et présente son ticket de session. Le serveur peut ainsi vérifier que le ticket est valide et que l'utilisateur a été authentifié par le domaine. L'opération passe par des clés privées, un sujet qui dépasse la portée de cette leçon. Le serveur n'a donc pas besoin d'authentifier l'utilisateur. Il accepte l'authentification et l'identité fournies par le domaine avec lequel l'ordinateur a établi une relation d'approbation.

Toutes ces transactions Kerberos sont gérées par les clients et les serveurs Windows et sont transparentes pour les utilisateurs.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Authentification Kerberos entre les domaines d'une forêt

Chaque domaine enfant d'une forêt approuve son domaine parent par une approbation transitive, bidirectionnelle et automatique appelée approbation parent-enfant. Le domaine racine de chaque arborescence d'un domaine approuve le domaine racine de la forêt par une approbation transitive, bidirectionnelle et automatique appelée approbation arborescence-racine.

Ces relations d'approbation créent ce que l'on appelle le chemin d'approbation ou flux d'approbation d'une forêt. Le chemin d'approbation est facile à comprendre lorsqu'on regarde un diagramme, illustré ci-après. La forêt comprend deux arborescences, l'arborescence tailspintoys.com et l'arborescence wingtiptoys.com. Le domaine tailspintoys.com est le domaine racine de la forêt. L'illustration indique que le domaine racine de l'arborescence wingtiptoys.com approuve le domaine tailspintoys.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


L'authentification Kerberos utilise le chemin d'approbation pour remettre à l'utilisateur d'un domaine un ticket de session pour un service d'un autre domaine. Lorsqu'un utilisateur du domaine usa.wingtiptoys.com demande à accéder à un dossier partagé d'un serveur du domaine europe.tailspintoys.com, les transactions suivantes surviennent :

1. L'utilisateur ouvre une session sur un ordinateur du domaine usa.wingtiptoys.com et est authentifié par un contrôleur du domaine usa.wingtiptoys.com, via le processus d'authentification décrit à la section précédente. L'utilisateur obtient un ticket TGT pour le contrôleur de domaine de usa.wingtiptoys.com.

L'utilisateur souhaite se connecter à un dossier partagé d'un serveur de europe.tailspintoys.com.

2. L'utilisateur contacte le centre KDC d'un contrôleur de domaine de usa.wingtiptoys.com pour demander un ticket de session pour le serveur de europe.tailspintoys.com.

3. Par le nom principal de service (SPN), le contrôleur de domaine de usa.wingtiptoys.com s'aperçoit que le service désiré réside dans europe.tailspintoys.com et non pas dans le domaine local.

Le travail du centre KDC consiste donc à jouer le rôle d'intermédiaire approuvé entre un client et un service. Lorsque le centre KDC ne peut pas fournir de ticket de session pour le service car ce dernier est dans un domaine approuvé et non dans le domaine local, il fournit une référence au client pour l'aider à obtenir le ticket de session demandé.

Pour connaître la prochaine étape, le centre KDC utilise un algorithme simple. Si le domaine du centre KDC est approuvé directement par le domaine du service, le centre KDC remet au client une référence pour un contrôleur du domaine du service. Si ce n'est pas le cas, mais qu'une approbation transitive existe entre le centre KDC et le domaine du service, le centre KDC remet au client une référence pour le prochain domaine dans le chemin d'approbation.

4. Le domaine usa.wingtiptoys.com n'est pas approuvé directement par europe.tailspintoys.com, mais une approbation transitive existe entre les deux domaines. Le centre KDC du domaine usa.wingtiptoys.com remet donc au client une référence pour un contrôleur du prochain domaine dans le chemin d'approbation, wingtiptoys.com.

5. Le client contacte le centre KDC du domaine de référence, wingtiptoys.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


6. De nouveau, le centre KDC s'aperçoit que le service n'est pas dans le domaine local et que le domaine europe.tailspintoys.com n'approuve pas directement wingtiptoys.com. Il renvoie donc une référence à un contrôleur du prochain domaine dans le chemin d'approbation, tailspintoys.com.

7. Le client contacte le centre KDC du domaine de référence, tailspintoys.com.

8. Le centre KDC s'aperçoit que le service n'est pas dans le domaine local et que le domaine europe.tailspintoys.com approuve directement le domaine tailspintoys.com. Il renvoie donc une référence à un contrôleur du domaine europe.tailspintoys.com.

9. Le client contacte le centre KDC du domaine de référence, europe.tailspintoys.com.

10. Le centre KDC du domaine europe.tailspintoys.com renvoie au client un ticket de session pour le service.

11. Le client contacte le serveur et fournit son ticket de session. Le serveur fournit un accès au dossier partagé sur la base des autorisations attribuées à l'utilisateur et aux groupes auxquels il appartient.

Ce processus semble compliqué mais n'oubliez pas qu'il reste entièrement transparent pour l'utilisateur.

Le processus inverse se produit lorsqu'un utilisateur du domaine usa.wingtiptoys.com ouvre une session sur un ordinateur du domaine europe.tailspintoys.com. La demande d'authentification initiale doit traverser le chemin d'approbation pour atteindre un centre KDC du domaine usa.wingtiptoys.com avant que l'utilisateur ne soit authentifié.

Il n'est pas nécessaire de maîtriser l'ensemble des détails de l'authentification Kerberos entre les domaines d'une forêt pour l'examen 70-640. Cependant, comprendre le fonctionnement de base d'une authentification inter-domaines dans une forêt et savoir que cette authentification suit un chemin d'approbation, vous aidera dans votre travail.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Démonstration : Création d'une approbation

Points clés La procédure de création d'une approbation est similaire quelles que soient les catégories d'approbation. Pour pouvoir créer une approbation, vous devez être membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise.

Pour créer une relation d'approbation :

1. Ouvrez le composant logiciel enfichable Domaines et approbations Active Directory.

2. Cliquez du bouton droit sur le domaine qui participera à l'un des côtés de la relation d'approbation et choisissez Propriétés.

Vous devez exécuter Domaines et approbations Active Directory avec un compte autorisé à créer des approbations dans ce domaine.

3. Ouvrez l'onglet Approbations.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


4. Cliquez sur le bouton Nouvelle approbation.

L'Assistant Nouvelle approbation vous guide tout au long de la création de l'approbation.

5. Dans la page Nom d'approbation, entrez le nom DNS de l'autre domaine de la relation d'approbation, puis cliquez sur Suivant.

6. Si le domaine saisi n'appartient pas à la même forêt, vous êtes invité à choisir un type d'approbation parmi les suivants :

• Forêt

• Externe

• Domaine Kerberos

Si le domaine est dans la même forêt, l'Assistant sait qu'il s'agit d'un raccourci d'approbation.

7. Si vous créez une approbation de domaine Kerberos, le système vous demande de préciser si l'approbation est transitive ou non. (Les approbations de domaine Kerberos sont traitées dans la suite de cette leçon.)

8. Dans la page Direction de l'approbation, sélectionnez l'un des éléments suivants :

• Bidirectionnelle : cette option établit une approbation bidirectionnelle entre les domaines.

• Unidirectionnelle : entrante : cette option établit une approbation unidirectionnelle dans laquelle le domaine sélectionné à l'étape 2 est le domaine approuvé et le domaine saisi à l'étape 5, le domaine autorisé à approuver.

• Unidirectionnelle : sortante : cette option établit une approbation unidirectionnelle dans laquelle le domaine sélectionné à l'étape 2 est le domaine autorisé à approuver et le domaine saisi à l'étape 5, le domaine approuvé.

9. Cliquez sur Suivant.

10. Dans la page Sens de l'approbation, sélectionnez l'un des éléments suivants :

• Ce domaine et le domaine spécifié : cette option établit les deux côtés de l'approbation. Vous devez pour cela être autorisé à créer des approbations dans les deux domaines.

• Ce domaine uniquement : cette option crée la relation d'approbation dans le domaine sélectionné à l'étape 2. Un administrateur autorisé à créer des approbations dans l'autre domaine doit recommencer ce processus pour compléter la relation d'approbation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Les étapes suivantes dépendent des options sélectionnées aux étapes 8 et 10. Elles concerneront l'un des éléments suivants :

• Si vous avez sélectionné Ce domaine et le domaine spécifié, vous devez saisir un nom d'utilisateur et un mot de passe autorisés à créer l'approbation dans le domaine spécifié à l'étape 5.

• Si vous avez sélectionné Ce domaine uniquement, vous devez saisir un mot de passe d'approbation. Le mot de passe d'approbation est saisi par les administrateurs de chaque côté d'une approbation pour établir cette dernière. Ces mots de passe ne doivent pas être ceux des comptes d'utilisateur des administrateurs. Il doit s'agir d'un mot de passe unique, réservé à la création de cette approbation. Les mots de passe sont utilisés pour établir l'approbation et les domaines les changent ensuite immédiatement.

11. Si l'approbation est sortante, vous êtes invité à choisir l'un des éléments suivants :

• Authentification sélective

• Authentification à l'échelle du domaine ou Authentification à l'échelle de la forêt, selon que le type d'approbation est une approbation externe ou une approbation de forêt, respectivement.

12. L'Assistant Nouvelle approbation récapitule vos sélections dans la page Fin des sélections de l'approbation. Cliquez sur Suivant.

L'Assistant crée l'approbation.

13. La page Fin de la création de l'approbation s'affiche. Vérifiez les paramètres, puis cliquez sur Suivant.

Vous aurez ensuite la possibilité de confirmer l'approbation. Cette option est très utile si vous avez créé les deux côtés de l'approbation ou si vous terminez le second côté d'une approbation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Si vous avez sélectionné l'option Ce domaine et le domaine spécifié à l'étape 8, la procédure est terminée. Si vous avez sélectionné l'option Ce domaine uniquement à l'étape 8, la relation d'approbation ne sera pas complète tant qu'un administrateur de l'autre domaine n'aura pas terminé la procédure :

• Si la relation d'approbation que vous avez établie est sortante et unidirectionnelle, un administrateur de l'autre domaine doit créer une approbation entrante unidirectionnelle.

• Si la relation d'approbation que vous avez établie est entrante et unidirectionnelle, un administrateur de l'autre domaine doit créer une approbation sortante unidirectionnelle.

• Si la relation d'approbation que vous avez établie est bidirectionnelle, un administrateur de l'autre domaine doit créer une approbation bidirectionnelle.

Lectures complémentaires • Les procédures détaillées de création de chaque type d'approbations sont

disponibles à l'adresse : http://go.microsoft.com/fwlink/?LinkId=168830

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Raccourcis d'approbation

Points clés Quatre types d'approbations peuvent être créés manuellement :

• Raccourcis d'approbation

• Approbations externes

• Approbations de domaine Kerberos

• Approbations de forêt

Chacun de ces types d'approbations est détaillé dans les sections suivantes.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Raccourcis d'approbation

Dans une section précédente, une procédure en 11 étapes permettait d'accorder un ticket de session à un client pour accéder à une ressource d'un autre domaine de la forêt. La plupart de ces étapes impliquaient des références à des domaines situés sur le chemin d'approbation entre le domaine de l'utilisateur et celui du dossier partagé. Lorsqu'un utilisateur d'un domaine ouvre une session sur un ordinateur d'un autre domaine, la demande d'authentification doit également traverser ce chemin d'approbation. Cette opération peut affecter les performances et, lorsque aucun contrôleur de domaine n'est disponible dans les domaines du chemin d'approbation, le client ne peut pas s'authentifier ni accéder au service.

Les raccourcis d'approbation sont conçus pour résoudre ces problèmes en créant directement une relation d'approbation entre les domaines enfants du chemin d'approbation de la forêt.

Les raccourcis d'approbation optimisent les demandes d'authentification et de ticket de session entre les domaines d'une forêt à plusieurs domaines. En éliminant le chemin d'approbation, ils éliminent également le temps nécessaire pour traverser ce chemin et peuvent donc considérablement améliorer les performances des demandes de ticket de session.

Un raccourci d'approbation peut être unidirectionnel ou bidirectionnel. Dans les deux cas, l'approbation est transitive. Dans l'illustration suivante, l'existence d'un raccourci d'approbation unidirectionnel implique que le domaine wingtiptoys.com approuve le domaine europe.tailspintoys.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsqu'un utilisateur du domaine europe.tailspintoys.com ouvre une session sur un ordinateur du domaine wingtiptoys.com ou demande une ressource du domaine wingtiptoys.com, la demande peut faire directement référence à un contrôleur du domaine approuvé, asia.wingitiptoys.com. Toutefois, l'inverse n'est pas vrai. Lorsqu'un utilisateur du domaine wingtiptoys.com ouvre une session sur un ordinateur du domaine europe.tailspintoys.com, la demande d'authentification remonte le chemin d'approbation jusqu'au domaine tailspintoys.com et redescend jusqu'au domaine wingtiptoys.com.

Un raccourci d'approbation bidirectionnel est illustré entre les domaines usa.wingtiptoys.com et europe.tailspintoys.com. Les utilisateurs des deux domaines peuvent être authentifiés par les ordinateurs de l'autre domaine ou leur demander leurs ressources. Le chemin du raccourci d'approbation est alors utilisé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Approbations externes et approbations de domaine Kerberos

Points clés Approbations externes

Pour travailler avec un domaine qui n'appartient pas à votre forêt, la création d'une approbation externe peut être nécessaire. Une approbation externe établit une relation d'approbation entre un domaine de votre forêt et un domaine Windows qui n'appartient pas à votre forêt. L'illustration en propose quelques exemples.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Vous pouvez voir qu'une approbation unidirectionnelle relie le domaine sales.worldwideimporters.com et le domaine europe.tailspintoys.com. Le domaine Europe approuvant le domaine Sales, les utilisateurs de ce dernier peuvent ouvrir une session sur les ordinateurs du domaine Europe ou accéder à ses ressources.

L'illustration montre qu'une approbation bidirectionnelle relie le domaine worldwideimporters.com et le domaine asia.tailspintoys.com. Les utilisateurs de chaque domaine peuvent se voir accorder un accès aux ressources de l'autre domaine. D'un point de vue technique, toutes les approbations externes sont non transitives et unidirectionnelles. Lorsque vous créez une approbation externe bidirectionnelle, vous créez en fait deux approbations unidirectionnelles, une dans chaque sens.

Lorsque vous créez une approbation externe sortante, Active Directory crée un objet entité de sécurité externe pour chaque entité de sécurité du domaine approuvé. Ces utilisateurs, groupes et ordinateurs peuvent alors être ajoutés dans les groupes locaux ou les listes de contrôle d'accès aux ressources du domaine autorisé à approuver.

Pour renforcer la sécurité d'une relation d'approbation externe, vous pouvez sélectionner l'option Authentification sélective dans la page Niveau d'authentification d'approbations sortantes de l'Assistant Nouvelle approbation. De plus, la quarantaine de domaine, également appelée filtrage des SID, est activée par défaut dans toutes les approbations externes.

Approbations de domaine Kerberos

Lorsqu'une interopérabilité interplateformes est nécessaire avec des services de sécurité basés sur d'autres implémentations Kerberos v5, vous pouvez établir une approbation de domaine Kerberos entre votre domaine et un domaine UNIX Kerberos v5. Les approbations de domaine Kerberos sont unidirectionnelles, mais vous pouvez établir des approbations unidirectionnelles dans chaque sens pour créer une approbation bidirectionnelle. Par défaut, les approbations de domaine Kerberos sont non transitives, mais elles peuvent être rendues transitives.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Lorsqu'un domaine Kerberos v5 non Windows approuve votre domaine, le domaine Kerberos approuve toutes les entités de sécurité de votre domaine. Si votre domaine approuve un domaine Kerberos v5 non Windows, les utilisateurs de ce dernier peuvent obtenir un accès aux ressources de votre domaine, mais ce processus est indirect. Lorsque les utilisateurs sont authentifiés par un domaine Kerberos non Windows, les tickets Kerberos ne contiennent pas toutes les données d'autorisation nécessaires pour Windows. Un système de mappage des comptes est donc utilisé. Des entités de sécurité sont créées dans le domaine Windows et mappées avec une identité Kerberos externe du domaine Kerberos non Windows approuvé. Le domaine Windows n'utilise ces comptes proxy que pour évaluer l'accès aux objets du domaine présentant des descripteurs de sécurité. Tous les comptes proxy Windows peuvent être utilisés dans des groupes et dans des listes de contrôle d'accès pour contrôler l'accès au nom de l'entité de sécurité non Windows. Les mappages de comptes sont gérés par l'intermédiaire du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Approbations de forêt

Points clés Lorsqu'une collaboration entre deux entreprises représentées par deux forêts distinctes est nécessaire, vous pouvez envisager d'implémenter une approbation de forêt. Une approbation de forêt est une relation d'approbation transitive unidirectionnelle ou bidirectionnelle entre les domaines racines de forêt de deux forêts. L'illustration présente un exemple d'approbation de forêt entre les forêts tailspintoys.com et worldwideimporters.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Une seule relation d'approbation de forêt autorise l'authentification d'un utilisateur de n'importe quel domaine par n'importe quel autre domaine de l'une ou l'autre des forêts, en supposant que l'approbation de forêt soit bidirectionnelle. Si l'approbation de forêt est unidirectionnelle, tout utilisateur d'un domaine (quel qu'il soit) de la forêt approuvée peut être authentifié par les ordinateurs de la forêt autorisée à approuver. Les approbations de forêt sont bien plus faciles à établir, à gérer et à administrer que des relations d'approbation distinctes entre chacun des domaines des forêts. Les approbations de forêt se révèlent particulièrement utiles dans les scénarios impliquant une collaboration entre deux entreprises ou des fusions et acquisitions, ou au sein d'une même organisation disposant de plusieurs forêts pour isoler les services et les données Active Directory.

Lorsque vous établissez une relation d'approbation de forêt, la quarantaine de domaine, également appelée filtrage des SID, est activée par défaut. La quarantaine de domaine est détaillée dans la section du même nom.

Vous pouvez préciser si l'approbation de forêt est unidirectionnelle, entrante ou sortante, ou bidirectionnelle. Comme nous l'avons déjà dit, toute approbation de forêt est transitive, c'est-à-dire que tous les domaines d'une forêt autorisée à approuver peuvent approuver tous les domaines d'une forêt approuvée.

Toutefois, les approbations de forêt ne sont pas elles-mêmes transitives. Par exemple, si la forêt tailspintoys.com approuve la forêt worldwideimporters.com et que la forêt worldwideimporters.com approuve la forêt northwindtraders.com, ces deux relations d'approbation ne permettent pas à la forêt tailspintoys.com d'approuver la forêt northwindtraders.com. Pour que ces deux forêts s'approuvent mutuellement, vous devez créer une approbation de forêt spécifique entre elles.

Pour qu'une approbation de forêt puisse être implémentée, plusieurs exigences doivent être satisfaites. Le niveau fonctionnel de la forêt doit être Windows Server 2003 ou supérieur. Vous devez également disposer d'une infrastructure DNS spécifique.

Lectures complémentaires • Pour plus d'informations sur les conditions DNS requises pour une

approbation de forêt, consultez la page http://go.microsoft.com/fwlink/?LinkId=168831.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Administration des relations d'approbation

Points clés Lorsque le fonctionnement d'une relation d'approbation vous inquiète, vous pouvez valider la relation d'approbation entre deux domaines Windows quelconques. Vous ne pouvez cependant pas valider une relation d'approbation établie avec un domaine Kerberos v5. Pour valider une relation d'approbation, procédez comme suit :

1. Ouvrez Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez du bouton droit sur le domaine contenant l'approbation à valider et choisissez Propriétés.


4. Sélectionnez l'approbation à valider.

5. Cliquez sur Propriétés.

6. Cliquez sur Valider.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


7. Choisissez l'une des opérations suivantes, puis cliquez sur OK :

• Cliquez sur Oui, valider l'approbation entrante. Entrez les informations d'identification d'un compte membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise du domaine réciproque.

• Cliquez sur Non, ne pas valider l'approbation entrante. Il est recommandé de répéter cette procédure pour le domaine réciproque.

La commande suivante permet également de vérifier une approbation depuis l'invite de commande :

netdom trust NomDomaineAutoriséàApprouver /domain:NomDomaineApprouvé /verify

Il peut également être nécessaire de supprimer une approbation créée manuellement. Pour ce faire, procédez comme suit :

1. Ouvrez Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez du bouton droit sur le domaine contenant l'approbation à valider et choisissez Propriétés.


4. Sélectionnez l'approbation à supprimer.

5. Cliquez sur Supprimer.

6. Choisissez l'une des opérations suivantes, puis cliquez sur OK :

• Cliquez sur Oui, supprimer l'approbation du domaine local et de l'autre domaine. Entrez les informations d'identification d'un compte membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise du domaine réciproque.

• Cliquez sur Non, supprimer l'approbation du domaine local uniquement. Il est recommandé de répéter cette procédure pour le domaine réciproque.

Pour supprimer une approbation créée manuellement depuis l'invite de commande, servez-vous de la commande netdom.exe avec la syntaxe suivante :

netdom trust NomDomaineAutoriséàApprouver /domain:NomDomaineApprouvé /remove [/force] /UserD:User /PasswordD:*

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Le paramètre UserD est un utilisateur dont le compte est membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise du domaine approuvé. Le paramètre PasswordD:* oblige netdom.exe à vous demander le mot de passe du compte. Le commutateur /force est obligatoire pour la suppression d'une approbation de domaine Kerberos.

Remarque : le gestionnaire de domaine Windows, la commande netdom.exe et d'autres outils de ligne de commande peuvent être utilisés pour gérer et tester les relations d'approbation. Voir : http://go.microsoft.com/fwlink/?LinkId=168832 pour plus d'informations sur ces commandes.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Quarantaine de domaine

Points clés Par défaut, la quarantaine de domaine, également appelé filtrage des SID, est activée dans toutes les approbations externes et de forêt. Lorsqu'un utilisateur est authentifié dans un domaine approuvé, il présente des données d'autorisation comprenant les SID de son compte dans les groupes auxquels il appartient. Les données d'autorisation de l'utilisateur comprennent également les identificateurs de sécurité issus des autres attributs de l'utilisateur et de ses groupes.

Certains des SID présentés par l'utilisateur depuis le domaine approuvé peuvent ne pas avoir été créés dans le domaine approuvé. Par exemple, si l'utilisateur a été migré d'un domaine vers un autre, un nouveau SID est attribué au compte migré. Le compte migré perd de ce fait l'accès aux ressources pour lesquelles des autorisations ont été attribuées au SID de l'ancien compte de l'utilisateur. Pour que l'utilisateur puisse continuer à accéder à ces ressources, l'administrateur qui effectue la migration peut spécifier que l'attribut sIDHistory du compte migré de l'utilisateur doit comprendre le SID de l'ancien compte. Lorsque l'utilisateur tente de se connecter à la ressource, le SID original de l'attribut sIDHistory se voit accorder l'accès.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Dans un scénario de domaine approuvé, un administrateur peu scrupuleux peut éventuellement utiliser des informations d'identification d'administration dans ce domaine approuvé pour charger, dans l'attribut sIDHistory d'un utilisateur, des SID identiques à ceux des comptes avec privilèges dans votre domaine. Cet utilisateur disposerait alors d'un niveau d'accès inapproprié aux ressources de votre domaine.

La quarantaine de domaine résout ce problème en autorisant le domaine autorisé à approuver à filtrer les SID du domaine approuvé qui ne correspondent pas aux SID principaux des entités de sécurité. Le SID du domaine d'origine étant inclus dans chaque SID, lorsqu'un utilisateur d'un domaine approuvé présente la liste de ses SID et ceux de ses groupes, le filtrage des SID demande au domaine autorisé à approuver d'ignorer tous les SID qui ne comprennent pas le SID du domaine approuvé.

La quarantaine de domaine est activée par défaut pour toutes les approbations sortantes visant des domaines et des forêts externes. Ne désactivez la quarantaine de domaine que lorsque au moins l'une des conditions suivantes est vraie :

• Vous faites entièrement confiance aux administrateurs du domaine approuvé.

• Des utilisateurs ou des groupes ont été migrés vers le domaine approuvé avec leurs historiques de SID et vous souhaitez qu'ils soient autorisés à accéder aux ressources du domaine autorisé à approuver en fonction de l'attribut sIDHistory.

Pour désactiver la quarantaine de domaine, tapez la commande suivante :

netdom trust NomDomaineAutoriséàApprouver /domain:NomDomaineApprouvé /quarantine:no

Pour réactiver la quarantaine de domaine, tapez la commande suivante :

netdom trust NomDomaineAutoriséàApprouver /domain:NomDomaineApprouvé /quarantine:yes

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Accès aux ressources pour les utilisateurs issus de domaines approuvés

Points clés Lorsque vous configurez une relation d'approbation qui permet à votre domaine d'en approuver un autre, vous introduisez la possibilité que des utilisateurs du domaine approuvé obtiennent l'accès aux ressources de votre domaine. Les sections suivantes examinent les composants liés à la sécurité des ressources d'un domaine autorisé à approuver.

Utilisateurs authentifiés

Une relation d'approbation n'accorde en elle-même aucun accès aux ressources. Il est toutefois probable que la création d'une relation d'approbation permette immédiatement aux utilisateurs du domaine approuvé d'accéder à certaines des ressources de votre domaine. Cela est dû au fait que la plupart des ressources sont sécurisées par des listes de contrôle d'accès qui octroient des autorisations au groupe Utilisateurs authentifiés.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Appartenance aux groupes locaux de domaine

Comme vous l'avez appris au Module 4, la meilleure façon de gérer l'accès à une ressource consiste à accorder des autorisations à un groupe local du domaine. Vous pouvez alors imbriquer les utilisateurs et les groupes de votre domaine dans le groupe local du domaine et, de ce fait, leur accorder un accès à la ressource. Les groupes de sécurité locaux du domaine peuvent également inclure des utilisateurs et des groupes globaux de domaines approuvés. Par conséquent, la meilleure façon d'attribuer des autorisations aux utilisateurs d'un domaine approuvé consiste à faire de ces derniers, ou de leurs groupes globaux, des membres d'un groupe local de domaine de votre domaine.

Ajout d'identités approuvées aux listes de contrôle d'accès

Vous pouvez également ajouter directement les utilisateurs et les groupes globaux d'un domaine approuvé dans les listes de contrôle d'accès aux ressources d'un domaine autorisé à approuver. Cette approche n'est pas aussi simple que la méthode précédente, c'est-à-dire l'utilisation d'un groupe local de domaine, mais elle est possible.

Transitivité

Lorsque vous créez une approbation de domaine Kerberos, cette approbation est non transitive par défaut. Si vous la rendez transitive, vous pouvez éventuellement permettre aux utilisateurs des domaines et des domaines Kerberos approuvés par le domaine Kerberos v5 d'accéder aux ressources de votre domaine. Il est donc recommandé d'utiliser des approbations non transitives, sauf si des contraintes professionnelles vous obligent réellement à choisir une approbation de domaine Kerberos transitive.

Authentification sélective

Lorsque vous créez une approbation externe ou une approbation de forêt, vous pouvez contrôler l'étendue de l'authentification des entités de sécurité approuvées. Deux modes d'authentification sont associés à une approbation externe ou de forêt :

• Authentification sélective

• Authentification à l'échelle du domaine (pour une approbation externe) ou authentification à l'échelle de la forêt (pour une approbation de forêt)

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Si vous choisissez l'authentification à l'échelle du domaine ou de la forêt, tous les utilisateurs approuvés peuvent être authentifiés et accéder aux services de tous les ordinateurs du domaine autorisé à approuver. Les utilisateurs approuvés peuvent par conséquent être autorisés à accéder aux ressources du domaine autorisé à approuver, où qu'elles se trouvent. Avec ce mode d'authentification, vous devez faire suffisamment confiance aux procédures de sécurité de votre entreprise et aux administrateurs qui implémentent ces procédures pour qu'un accès inapproprié ne soit pas accordé aux utilisateurs approuvés. N'oubliez pas, par exemple, que les utilisateurs d'une forêt ou d'un domaine approuvé sont considérés comme des Utilisateurs authentifiés dans le domaine autorisé à approuver. Toutes les ressources auxquelles ce groupe peut accéder deviennent donc immédiatement accessibles aux utilisateurs des domaines approuvés si vous choisissez l'authentification à l'échelle du domaine ou de la forêt.

Si, toutefois, vous choisissez l'authentification sélective, tous les utilisateurs du domaine approuvé sont des identités approuvées. Ils ne sont cependant autorisés à s'authentifier que pour les services des ordinateurs que vous avez désignés. Imaginons, par exemple, que vous ayez établi une approbation externe avec le domaine d'une entreprise partenaire. Vous voulez vous assurer que seuls les utilisateurs du groupe marketing de cette entreprise puissent accéder aux dossiers partagés stockés dans un seul de vos nombreux serveurs de fichiers. Vous pouvez configurer une authentification sélective pour la relation d'approbation, puis accorder aux utilisateurs approuvés le droit de s'authentifier uniquement sur ce seul serveur de fichiers.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour configurer le mode d'authentification d'une nouvelle approbation sortante, servez-vous de la page Niveau d'authentification d'approbations sortantes de l'Assistant Nouvelle approbation. Configurez le niveau d'authentification d'une approbation existante, ouvrez les propriétés du domaine autorisé à approuver dans le composant logiciel enfichable Domaines et approbations Active Directory, sélectionnez la relation d'approbation, cliquez sur Propriétés, puis ouvrez l'onglet Authentification présenté dans l'illustration.

Une fois l'option Authentification sélective sélectionnée pour l'approbation, aucun utilisateur approuvé ne peut accéder aux ressources du domaine autorisé à approuver, même si des autorisations leur ont été accordées.

Ces utilisateurs doivent également bénéficier de l'autorisation Autorisation d'authentifier sur l'objet ordinateur du domaine.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Pour accorder cette autorisation :

1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory et vérifiez que l'option Fonctionnalités avancées est activée dans le menu Affichage.

2. Ouvrez les propriétés de l'ordinateur sur lequel les utilisateurs approuvés doivent être autorisés à s'authentifier, c'est-à-dire l'ordinateur sur lequel les utilisateurs approuvés ouvriront une session ou contenant les ressources pour lesquelles des autorisations leur ont été accordées.

3. Dans l'onglet Sécurité, ajoutez les utilisateurs approuvés ou un groupe auquel ils appartiennent, puis cochez la case Autoriser de l'autorisation Autorisation d'authentifier, comme illustré dans la figure suivante.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Atelier pratique B : Administration d'une relation d'approbation

Scénario La société Contoso établit actuellement un partenariat avec la société Tailspin Toys. Une équipe de développeurs de produits de Tailspin Toys doit pouvoir accéder à un dossier partagé du domaine Contoso. Vous devez donc configurer votre domaine pour répondre à cette exigence professionnelle. De plus, l'administrateur de domaine de Tailspin Toys, qui n'a pas beaucoup d'expérience, aura besoin de votre aide pour configurer le côté réciproque de la relation d'approbation.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 1 : Configuration du service DNS Avant de créer des relations d'approbation, vous devez être certain du bon fonctionnement du service DNS. Chaque domaine doit pouvoir résoudre les noms de l'autre domaine. Au cours du Module 10, vous avez appris à configurer la résolution des noms. Plusieurs méthodes permettent de prendre en charge la résolution des noms entre deux forêts. Dans cet exercice, vous allez créer une zone de stub dans le domaine contoso.com pour le domaine tailspintoys.com et un redirecteur conditionnel dans le domaine tailspintoys.com pour résoudre contoso.com.



2. Configurer le service DNS dans le domaine contoso.com.

3. Configurer le service DNS dans le domaine tailspintoys.com.

Tâche 1 : Préparation de l'atelier pratique 1. Démarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur


2. Démarrez 6238B-TSTDC01-A et ouvrez une session avec le nom d'utilisateur Sara.Davis et le mot de passe Pa$$w0rd.

Tâche 2 : Configuration du service DNS dans le domaine contoso.com 1. Dans HQDC01, exécutez l'outil de gestion DNS en tant qu'administrateur,


2. Créez une zone de stub pour tailspintoys.com qui renvoie à l'adresse IPv4 10.0.0.31 pour le serveur maître.

Tâche 3 : Configuration du service DNS dans le domaine tailspintoys.com 1. Dans TSTDC01, exécutez l'outil Gestion du service DNS en tant

qu'administrateur, avec le compte Sara.Davis_Admin et le mot de passe Pa$$w0rd.

2. Pour le domaine contoso.com, créez un redirecteur conditionnel qui renvoie à l'adresse IPv4 10.0.0.11.

Résultats : À la fin de cet exercice, vous aurez configuré la résolution des noms DNS entre les domaines contoso.com et tailspintoys.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 2 : Création d'une relation d'approbation Dans cet exercice, vous allez créer une relation d'approbation pour que les utilisateurs de la société Tailspin Toys puissent s'authentifier dans le domaine Contoso.


1. Identifier les domaines approuvé et autorisé à approuver.

2. Initier l'approbation dans le domaine approuvé.

3. Terminer l'approbation dans le domaine autorisé à approuver.

Tâche 1 : Identification des domaines approuvé et autorisé à approuver • Les utilisateurs du domaine tailspintoys.com doivent pouvoir accéder à un

dossier partagé du domaine contoso.com. Répondez aux questions suivantes :

• Quel est le domaine autorisé à approuver et quel est le domaine approuvé ?

• Quel domaine dispose d'une approbation sortante et quel domaine dispose d'une approbation entrante ?

Tâche 2 : Initiation de l'approbation dans le domaine approuvé 1. Dans HQDC01, exécutez Domaines et approbations Active Directory en tant


2. Créez une relation d'approbation externe, unidirectionnelle et sortante avec tailspintoys.com. Configurez cette approbation pour qu'elle utilise l'authentification à l'échelle du domaine et définissez son mot de passe initial sur Pa$$w0rd.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Tâche 3 : Fin de l'approbation dans le domaine autorisé à approuver 1. Dans TSTDC01, exécutez Domaines et approbations Active Directory en


2. Créez une relation d'approbation externe, unidirectionnelle et entrante avec contoso.com. Configurez cette approbation pour qu'elle utilise l'authentification à l'échelle du domaine et définissez son mot de passe initial sur Pa$$w0rd.

Résultats : Au terme de cet exercice, vous aurez établi une relation d'approbation entre les domaines contoso.com et tailspintoys.com, contoso.com étant le domaine approuvé.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 3 : Validation d'une relation d'approbation L'exercice précédent vous a donné la possibilité de confirmer la relation d'approbation. Vous pouvez également confirmer ou valider une relation d'approbation existante. Dans cet exercice, vous allez valider l'approbation établie entre les domaines contoso.com et tailspintoys.com.


• Valider une relation d'approbation.

Tâche 1 : Validation d'une relation d'approbation • Dans HQDC01, utilisez Domaines et approbations Active Directory pour

valider l'approbation établie entre les domaines contoso.com et tailspintoys.com.

Résultats : Au terme de cet exercice, vous aurez validé l'approbation établie entre les domaines contoso.com et tailspintoys.com.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 4 : Octroi d'autorisations aux identités approuvées Dans cet exercice, vous allez autoriser l'équipe des produits de la société Tailspin Toys à accéder à un dossier partagé du domaine Contoso.


• Octroyer des autorisations aux groupes approuvés.

Tâche 1 : Octroi d'autorisations aux groupes approuvés 1. Dans TSTDC01, exécutez Utilisateurs et ordinateurs Active Directory en


2. Dans l'unité d'organisation User Accounts, créez un compte d'utilisateur Pat Coleman avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Configurez le mot de passe de sorte qu'il n'ait pas besoin d'être modifié à la première ouverture de session.

3. Dans le domaine tailspintoys.com, créez une unité d'organisation nommée Groups.

4. Dans l'unité d'organisation Groups, créez un groupe de sécurité global nommé Product Team.

5. Dans HQDC01, exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

6. Dans l'unité d'organisation Groups\Role, créez un groupe de sécurité global nommé Product Developers.

7. Dans l'unité d'organisation Groups\Access, créez un groupe local de domaine nommé ACL_Product Information_Modify.

8. Créez un dossier nommé Product Information dans le lecteur C de l'ordinateur HQDC01.

9. Attribuez au groupe ACL_Product Information_Modify l'autorisation Modifier pour le dossier Product Information.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


10. Ouvrez les propriétés du groupe ACL_ Product Information _Modify. Ajoutez les membres Contoso Product Developers et Tailspin Toys Product Team.

Lorsque vous effectuez cette opération, une boîte de dialogue Sécurité de Windows s'affiche. L'approbation étant unidirectionnelle, votre compte d'utilisateur en tant qu'administrateur du domaine contoso.com (Pat.Coleman_Admin) n'est pas autorisé à lire l'annuaire du domaine tailspintoys.com. Pour pouvoir lire son annuaire, vous devez disposer d'un compte dans le domaine tailspintoys.com. Si l'approbation était bidirectionnelle, ce message ne s'afficherait pas. Votre compte d'utilisateur standard dans le domaine tailspintoys.com sera utilisé pour vous fournir un Accès en lecture dans le service d'annuaire.

Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman. Dans le champ Mot de passe, tapez Pa$$w0rd.

11. Notez que les deux groupes globaux des deux domaines sont à présent membres du groupe local du domaine contoso.com, autorisé à accéder au dossier Product Information.

Résultats : Au terme de cet exercice, vous aurez accordé des autorisations d'accès aux ressources du dossier Product Information du domaine Contoso aux groupes des domaines Contoso et Tailspin Toys.

UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT


Exercice 5 : Implémentation d'une authentification sélective Dans cet exercice, vous allez limiter la possibilité des utilisateurs du domaine tailspintoys.com à s'authentifier auprès des ordinateurs du domaine contoso.com.


• Implémenter une authentification sélective.

Tâche 1 : Implémentation d'une authentification sélective • Dans HQDC01, utilisez Domaines et approbations Active Directory pour

activer l'authentification sélective de l'approbation établie entre les domaines contoso.com et tailspintoys.com.

Lorsque l'authentification sélective est activée, les utilisateurs d'un domaine approuvé ne peuvent pas s'authentifier auprès des ordinateurs du domaine autorisé à approuver, même s'ils disposent d'autorisations pour un dossier. Les utilisateurs approuvés doivent également bénéficier de l'autorisation Autorisation d'authentifier sur l'ordinateur lui-même.

• Dans Utilisateurs et ordinateurs Active Directory, vérifiez que les Fonctionnalités avancées sont activées. Ouvrez ensuite les propriétés de l'ordinateur HQDC01 et attribuez l'Autorisation d'authentifier au groupe TAILSPINTOYS\Product Team.

Lorsque vous effectuez cette opération, une boîte de dialogue Sécurité de Windows s'affiche. L'approbation étant unidirectionnelle, votre compte d'utilisateur en tant qu'administrateur du domaine contoso.com (Pat.Coleman_Admin) n'est pas autorisé à lire l'annuaire du domaine tailspintoys.com. Pour pouvoir lire son annuaire, vous devez disposer d'un compte dans le domaine tailspintoys.com. Si l'approbation était bidirectionnelle, ce message ne s'afficherait pas. Votre compte d'utilisateur standard dans le domaine tailspintoys.com sera utilisé pour vous fournir un Accès en lecture dans le service d'annuaire.

Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman. Dans le champ Mot de passe, tapez Pa$$w0rd.


UT

ILIS

AT

ION

RÉ

SE

RV

ÉE

À L

'INS

TR

UC

TE

UR

MC

T U

NIQ

UE

ME

NT



Question : Vous avez accordé au groupe Research and Development de la société Tailspin Toys, l'autorisation de Modifier le dossier Product Information de l'ordinateur HQDC01. Toutefois, sur les dix utilisateurs du groupe, un seul (également membre du groupe Product Team) peut y accéder. Les autres ne peuvent pas accéder au dossier. Que devez-vous faire ?

Question : Un utilisateur de Contoso tente d'accéder à un dossier partagé du domaine Tailspin Toys et reçoit une erreur Accès refusé. Que devez-vous faire pour que cet utilisateur puisse accéder à ce dossier ?

93662909 Active Directory Volume2

Documents

Transcript of 93662909 Active Directory Volume2