Ce tutoriel amorce une série de sujets sur les stratégies de groupes et leurs diverses fonctionnalités. Ces stratégies sont extrêmement puissantes et une fois maitrisées elles facilitent le rôle de l’administrateur réseaux.

Le terme Stratégie désigne la configuration logicielle du système par rapport aux utilisateurs. A la suite d’une installation de Windows, aucune stratégie n’est configurée, et tout est permis (en fonction des droits des groupes d’utilisateurs prédéfinis : Administrateurs, Utilisateurs, Utilisateurs avec pouvoir…).

Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d’utilisation de Windows où des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné. Il est ainsi possible d’agir sur :

• La définition d’un environnement adapté : Il est possible par exemple de rediriger certains répertoires leurs contenus
• Le déploiement de logiciels : Une automatisation complète de l’installation des programmes sur les postes clients est possible en fonction du profil de l’utilisateur
• L’application des paramètres de sécurité : Le contexte de sécurité de l’environnement utilisateur peut être modifier

Voici un exemple de stratégie de groupe :

Menu Démarrer et Barre des tâches

• Suppression du menu Documents dans le menu Démarrer
• Suppression des Connexions réseau et accès distant du menu Démarrer
• Suppression du menu Exécuter dans le menu Démarrer
• Désactivation de la fermeture de session dans le menu Démarrer
• Désactivation de la commande Arrêter

Panneau de configuration

• Désactivation du Panneau de configuration
• Masque de certaines applications du Panneau de configuration

Système

• Activation des quotas de disque
• Désactivation des outils de modifications du Registre
• Désactivation de l’invite de commandes

Internet Explorer

• Désactivation de la modification des paramètres de la page de démarrage

Une stratégie de groupe et composée d’un objet Active Directory et d’un dossier dont le nom est le  SID de la GPO et que l’on trouve dans le répertoire SYSVOL disponible sur chaque contrôleur de domaine. Les GPO ne peuvent êtres appliquées qu’à des conteneurs : site, domaine ou encore unité d’organisation mais elles peuvent être assignées plusieurs fois à des conteneurs différents. Le contenu d’une GPO sera donc appliqué sur les comptes utilisateurs et ordinateurs contenus dans le conteneur et plusieurs GPO peuvent être liée à un même conteneur.

Scripting
Les GPO permettent en outre de spécifier des scripts de démarrage (que l’ordinateur exécutera au lancement de Windows avant qu’un utilisateur ne se soit loguer), ainsi que des scripts d’ouverture de session (exécutés quand un utilisateur se logue). Grâce aux scripts d’ouverture de session il est possible notamment de créer des lecteurs réseau (c’est à dire une lettre de lecteur que l’on associe en réalité à un partage réseau) selon les groupes et les utilisateurs.
Les scripts de démarrage s’exécutent en mode synchrone ( les uns après les autres sans que le login ne soit possible avant la fin de leur exécution) et de façon invisible. D’un autre côté, les scripts d’ouverture de session s’exécutent en mode asynchrone (tous en même temps au moment du login) mais restent eux aussi invisibles.
Les scripts peuvent être placés sur n’importe quel DC (contrôleur de domaine) du domaine ( grâce au processus de réplication), dans le sous répertoire du domaine destiné aux scripts et qui se situe dans le partage SYSVOL.

Voici un exemple de script :

Set objNetwork = Wscript.CreateObject(«WScript.Network») objNetwork.MapNetworkDrive«G:», «\\NomOrdinateur\NomOrdinateur Data» msgbox «Votre script a fonctionné ! »

Création d’une GPO à l’aide de la console gpedit.msc (Stratégie Locale)

La console gpedit.msc permet de créer des stratégies de groupe sur un ordinateur en local, son nom de fichier est : %systemroot%\system32\gpedit.msc. Celle-ci récupère ses informations à différents niveaux : dans les fichiers dont l’extension est .adm, dans la base de registre et dans deux fichiers nommés registry.pol.

Voici un diagramme qui détaille le fonctionnement de gpedit.msc :

Installation de la console de gestion des stratégies de groupe (=gpmc.msc)

La console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) Microsoft permet l’uniformisation de la gestion des stratégies de groupe au sein d’une organisation active directory. Avant que celle-ci ne fasse son apparition, il était nécessaire d’utiliser plusieurs outils Microsoft pour gérer les stratégies de groupe. La console GPMC réunit désormais dans une seule console toutes les fonctionnalités nécessaires.

Grâce à la console GPMC, la gestion des stratégies de groupe est facilitée : comprendre, déployer, gérer et résoudre des problèmes liés aux implémentations de stratégie de groupe sont désormais des tâches qui ne posent pas de soucis. La GPMC permet par ailleurs d’automatiser des opérations de stratégie de groupe à l’aide de scripts.

La console GPMC contrôle les stratégies de groupe Windows 2000 et Windows Server 2003. Les fonctionnalités majeures proposées par la console GPMC sont :

• une interface graphique utilisateur qui facilite l’utilisation des GPO
• l’importation et l’exportation ainsi que le copier/coller des objets de stratégie de groupe
• le filtrage par le langage WMI (Windows Management Instrumentation)
• la sauvegarde et la restauration des objets de stratégie de groupe
• la présence d’un module de vérification des stratégies résultantes (RSoP, resultant set of policy)
• l’utilisation de scripts pour les tâches associées aux stratégies de groupe
• la génération de rapports
• la gestion simplifiée de la sécurité liée aux stratégies de groupe

Pour télécharger la console de gestion des stratégies de groupe Microsoft cliquez sur le lien GPMC.

Celle-ci pourra s’exécuter sur Windows XP Pro SP1 ou encore sur Windows 2003 serveur, une fois installée elle sera disponible à travers l’invite de commande en tapant «gpmc.msc ».

Configuration Ordinateurs et Utilisateurs

La console de gestion des stratégies de groupe se divise en deux arborescences, la première étant Configuration Ordinateur. La configuration ordinateur définit le comportement du système d’exploitation ou d’une partie du bureau et la configuration de la sécurité. Elle intervient dans des opérations comme l’installation des logiciels dès le démarrage de la machine…
Configuration Utilisateur est la seconde arborescence des stratégies de groupe. La configuration utilisateur définit la configuration des applications, les options d’applications affectées et publiées et enfin les paramètres de bureau, elle intervient dans des opérations comme le déploiement de scripts de démarrage…

Dans certains cas, il est nécessaire de modifier le fonctionnement des GPO, par exemple dans le cas où la machine est en accès libre. Le paramètre de GPO « Bouclage » permet à l’ordinateur de prendre lui-même en compte la partie Utilisateur de la GPO qu’il utilise, ces paramètres éliminent les paramètres de GPO normalement appliqués par le login de l’utilisateur. Ainsi un environnement utilisateur très limité par exemple pourra être défini quel que soir l’utilisateur connecté.

Stockage des paramètres d’une GPO

Lorsqu’une GPO est définit, les paramétrages de cette dernière sont stockés dans la base de registre dans les branches suivantes :

HKEY_CURRENT_USER\Software\Policies\Microsoft
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

That’s All.

Difficulté :
Modification : -
Crédits : -

Note: There is a print link embedded within this post, please visit this post to print it.

Le service DNS (Domain Name Service) et DCPromo (l’outil de ligne de commande qui crée DNS et Active Directory) peuvent être installés manuellement ou à l’aide de l’assistant Gérer votre serveur de Windows Server 2003. Cette section utilise les outils manuels pour effectuer l’installation.Cliquez sur le bouton Démarrer, puis sur Exécuter. Tapez DCPROMO, puis cliquez sur OK.

Lorsque l’assistant Installation d’Active Directory apparaît, cliquez sur Suivant pour commencer l’installation.

Après avoir consulté les informations de Compatibilité du système d’exploitation, cliquez sur Suivant.

Sélectionnez Contrôleur de domaine pour un nouveau domaine (paramètre par défaut), puis cliquez sur Suivant.

Quelques explications :

• Contrôleur de domaine

Dans une forêt Active Directory, serveur contenant une copie inscriptible de la base de données Active Directory, participant à la réplication Active Directory et contrôlant l’accès aux ressources réseau. Les administrateurs peuvent gérer les comptes d’utilisateurs, l’accès réseau, les ressources partagées, la topologie du site et les autres objets d’annuaire à partir de n’importe quel contrôleur de domaine de la forêt.

• Contrôleur de domaine supplémentaire

Tout contrôleur de domaine installé sur un domaine existant. Tous les contrôleurs de domaine participent de manière égale à la réplication Active Directory mais, par défaut, le premier contrôleur de domaine installé sur un domaine se voit attribuer la propriété des opérations à maître unique.

• Domaine enfant

Pour DNS et Active Directory, domaine de l’arborescence de l’espace de noms situé immédiatement sous un autre nom de domaine (le domaine parent). Par exemple, exemple.microsoft.com est un domaine enfant du domaine parent microsoft.com. On parle aussi de sous-domaine.

• Arborescence de domaine

Dans DNS, structure de l’arborescence hiérarchique inversée utilisée pour indexer les noms de domaines. Dans leur but et leur concept, les arborescences de domaines sont identiques aux arborescences de répertoires utilisées par les systèmes de fichiers des ordinateurs pour le stockage sur les disques. Par exemple, lorsque de nombreux fichiers sont stockés sur un disque, les répertoires peuvent être utilisés pour organiser les fichiers de façon logique. Lorsqu’une arborescence de domaine comprend plusieurs branches, chaque branche peut organiser en ensembles logiques des noms de domaines utilisés dans l’espace de noms.
Dans Active Directory, structure hiérarchique d’un ou plusieurs domaines liés par des relations d’approbations bidirectionnelles et transitives formant un espace de noms contigu. Plusieurs arborescences de domaine peuvent appartenir à la même forêt.

• Forêt

Un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classe et d’attribut (schéma), les mêmes informations relatives au site et à la réplication (configuration), et les mêmes fonctionnalités de recherche dans la forêt (catalogue global). Les domaines d’une même forêt sont liés par des relations bidirectionnelles et transitives.

Sélectionnez Domaine dans une nouvelle forêt (paramètre par défaut), puis cliquez sur Suivant.

Dans Nom DNS complet, tapez un nom de domaine (Ex:quick-tutoriel.com), puis cliquez sur Suivant. Cette valeur représente un nom complet.

Cliquez sur Suivant pour accepter le Nom de domaine NetBIOS par défaut, à savoir QUICKTUTORIEL (pour éviter tout problèmes et dysfonctionnement j’ai supprimé le -, vous pouvez en faire autant si vous avez un nom composé, soyer sobre dans vos désignations, vous gagnerez du temps). Les noms NetBIOS garantissent une compatibilité de niveau inférieur.

Dans la fenêtre Dossiers de la base de données et du journal, indiquez comme chemin d’accès au Dossier du journal d’Active Directory C:\WINDOWS\NTDS, puis cliquez sur Suivant pour continuer (Vous pouvez changer l’emplacement de la base et la mettre sur un disque séparé).

Conservez l’emplacement de dossier par défaut de Volume système partagé, puis cliquez sur Suivant.

Dans la fenêtre Diagnostics des inscriptions DNS, cliquez sur Installer et configurer le serveur DNS sur cet ordinateur. Cliquez sur Suivant pour continuer.

Sélectionnez Autorisations compatibles uniquement avec les systèmes d’exploitation serveurs Windows 2000 ou Windows Server 2003 (paramètre par défaut), puis cliquez sur Suivant.

Entrez un mot de passe dans Mot de passe du mode Restauration et Confirmer le mot de passe, puis cliquez sur Suivant pour continuer.

Remarque : Les environnements de production doivent utiliser des mots de passe complexes en mode Restauration des services d’annuaire.

Récapitulatif des options d’installation d’Active Directory.

Cliquez sur Suivant pour commencer l’installation d’Active Directory. Si vous y êtes invité, insérez le CD-ROM d’installation de Windows Server 2003.

À la fin de l’Assistant Installation d’Active Directory, cliquez sur Terminer.

Cliquez sur Redémarrer maintenant pour redémarrer l’ordinateur.

A la fin du paramétrage d’active directory, si vous voulez créer un utilisateur lors de la validation du mot de passe, ce message d’avertissement peut apparaitre :

Par défaut, Windows 2003 Server impose une complexité minimale des mots de passe lorsque Active Directory est installé.

Pour désactiver cette contrainte, Dans le menu démarrer -> Outils d’administration, cliquez sur Stratégie de sécurité du domaine.

L’emplacement de la stratégie pour le domaine est le suivant :
Paramètres Windows \Paramètres de sécurité\ Stratégies de comptes\ Stratégie de mot de passe.

Modifiez la stratégie afin qu’elle corresponde à vos attentes (voir ci-dessous).

Il faudra aussi modifier de la même façon la stratégie locale en exécutant gpedit.msc dans le menu démarrer, exécuter.

Pour que ces modifications soient immédiatement pris en compte, il faut actualiser les stratégies de groupe en tapant la commande GPUPDATE, dans le Menu démarrer, exécuter.

That’s All.

Difficulté :
Modification : -
Crédits : -

Note: There is a print link embedded within this post, please visit this post to print it.

Il existe 2 type de restauration pour Active Directory :

La restauration normale  ou non-Autoritaire (si vous n’avez perdu qu’un DC, dans ce cas vous devez le réinstaller puis restaurer les données aussi utile pour la corruption de la base de données.La restauration Autoritaire (Si vous ne souhaitez pas répliquer les modifications intervenues après la dernière opération de sauvegarde, vous devez procéder à une restauration forcée ou autoritaire. Par exemple, si vous avez supprimé, par inadvertance, des utilisateurs, des groupes ou des unités d’organisations et si vous voulez restaurer le système afin de récupérer et répliquer les objets supprimés. )

Effectuer une restauration normale ou non-Autoritaire d’Active Directory

Pour restaurer l’état système sur un contrôleur de domaine, commencez par démarrer l’ordinateur en mode de restauration des services d’annuaire. Pour ce faire, redémarrez l’ordinateur et appuyez sur la touche F8 lorsque le menu Démarrage s’affiche.

Choisissez Mode Restauration Active Directory (contrôleur de domaine Windows).

A l’invite de connexion, indiquez les références de connexion du mode Restauration des services d’annuaire que vous aviez spécifiées au cours du processus Dcpromo.exe.

Cliquez sur OK pour confirmer que vous utilisez le mode sans échec.

Cliquez sur Démarrer, Programmes, Accessoires, Outils système, puis cliquez sur Utilitaire de Sauvegarde.

Cliquez sur l’onglet Restaurer.

Cliquez sur le support de sauvegarde approprié et l’état système à restaurer.

REMARQUE : Au cours de la restauration, vous devez également sélectionner le dossier Winnt\Sysvol pour que le volume système fonctionne après la récupération. Assurez-vous que l’option avancée de restauration des points de jonction et des données est également sélectionnée avant la restauration. Ceci garantit que les points de jonction du volume système sont recréés.

Dans la zone Restaurer les fichiers vers, cliquez sur Emplacement d’origine.

REMARQUE : Lorsque vous choisissez de restaurer un fichier dans un autre emplacement ou dans un seul fichier, toutes les données de l’état système ne sont pas restaurées. Ces options servent principalement aux fichiers de démarrage ou aux clés du Registre.

Lorsque la restauration commence, il faut choisir entre les options suivantes:

• Laissez les fichiers (recommandé), sélectionnez cette option si vous ne voulez pas que la restauration écraser tous les fichiers existants.
• Remplacer les fichiers existants si elles sont plus âgées que les fichiers de sauvegarde, si elle est sélectionnée, les fichiers plus anciens à la sauvegarde sont remplacés.
• Remplacer les fichiers existants; cette option remplace tous les fichiers existants avec les fichiers de sauvegarde.

Lorsque les options de restauration avancées sont  affichées, vous pouvez sélectionner les options suivantes:

• Restaurer les paramètres de sécurité est activé par défaut. Si vous désactivez cette case, tous les fichiers seront restaurés sans autorisations.
• Restaurer les points de jonction, mais pas les dossiers et fichiers de données auxquels ils font référence, lorsqu’il est sélectionné, le processus de restauration est en mesure de restaurer des informations sur les disques montés.
• Conserver les points de montage de volume existants, une fois sélectionné, les points de montages sont protégés sur le volume.
• Restaurer le Registre de cluster sur le disque quorum et tous les autres nœuds, le cas échéant, pour ce contrôleur de domaine, le quorum de cluster de base de données est restaurée.
• Marquer les données restaurées comme données principales pour tous les réplicas lors de la restauration de jeux de données répliqués cette option doit être activée si vous effectuez une restauration primaire (si il s’agit du seul DC du domaine, ce qui est le cas ici) d’Active Directory.

Une fois la restauration terminée, redémarrez l’ordinateur.

Pour assurer la disponibilité des ressources critiques et des objets réseaux et assurer une continuité de l’activité, vous devez effectuer des sauvegardes d’Active Directory. La raison est, qu’ Active Directory accueille des données critiques de votre environnement. Les sauvegardes sont généralement conseillées pour les raisons suivantes:

• Protégez votre environnement réseau contre la suppression accidentelle, ou modification de données, et contre les défaillances matérielles
• Conserver les données critiques

Vous pouvez accéder à l’utilitaire de sauvegarde de Windows Server 2003  en cliquant sur Démarrer -> Exécuter puis entrer ntbackup dans la boîte de dialogue Exécuter, et cliquer sur OK.

Sur la page d’accueil de l’assistant Sauvegarde ou Restauration, cliquez sur Suivant.

Veiller à ce que l’option par défaut, Sauvegarde des fichiers et des paramètres, soit sélectionné sur la page de sauvegarde ou de restauration. Cliquez sur Suivant.

Sur la page pour sauvegarder, vous pouvez choisir entre les options suivantes:

• Toutes les informations sur cet ordinateur
• Me laisser choisir les fichiers à sauvegarder

Après avoir sélectionné l’option adéquate, ici Me laisser choisir les fichiers à sauvegarder, cliquer sur Suivant.

Cliquer sur SystemState, par défaut tous les objets tel que Active Directory, boot files, registry, sysvol sont sélectionnés

Sur la page suivante, dans la zone Choisissez un emplacement, sélectionner un emplacement à l’aide du bouton Parcourir, puis nommer cette sauvegarde, puis cliquer sur suivant

Cliquez sur Terminer pour lancer immédiatement la sauvegarde d’Active Directory. Cette sauvegarde est exécutée en utilisant les paramètres par défaut des options avancées.  Si vous souhaitez configurer des paramètres supplémentaires, cliquez sur Avancé (conseillé car options supplémentaires) , et non pas sur Terminer.

Dans les options avancées, lorsque le type de sauvegarde apparaît, sélectionnez le type de sauvegarde qui doit être effectuée. Vous pouvez sélectionner l’une des options suivantes dans  la zone de liste.

• Normal: de tous les fichiers spécifiés et les composants sont sauvegardés. L’attribut archive est toutefois remis à zéro.
• Copy: Tous les fichiers spécifiés et les composants sont sauvegardés. Les attributs d’archive n’est pas remis à zéro.
• Incrémentiel: Ce type de sauvegarde des références les attributs d’archive, d’isoler les fichiers qui ont changé depuis l’époque où la dernière sauvegarde a été effectuée, et alors seulement sauvegarde les fichiers modifiés. L’attribut archive est alors autorisé à permettre à la prochaine procédure de sauvegarde afin de déterminer uniquement les fichiers qui ont changé de cette sauvegarde en cours, à l’autre. Seuls ces fichiers sont ensuite sauvegardés dans le processus de sauvegarde.
• Différentiel: Une sauvegarde différentielle soutient également que les fichiers qui ont changé depuis la précédente sauvegarde. La différence entre ce type de sauvegarde et le type de sauvegarde incrémentale, qui est une sauvegarde différentielle ne supprime pas les attributs d’archive.
• Daily: Le quotidien fait référence à la sauvegarde des fichiers de type « timestamps, puis sauvegarde les fichiers qui ont été créés ou modifiés sur la journée.

Si vous avez choisie les options avancées, vous avez la possibilité à la fin de la sauvegarde de vérifier celle-ci.

Sur la page Options de sauvegarde, vous pouvez sélectionner l’une des options suivantes:

• Ajouter cette sauvegarde aux sauvegardes existantes : La sauvegarde sera annexé à une sauvegarde existante.
• Remplacer les sauvegardes existantes: La dernière sauvegarde est écrasée

Vous avez la possibilité de lancer la sauvegarde maintenant, ou alors de la planifiée (La planification d’une tâche n’ayant rien d’extraordinaire celle-ci ne sera pas détaillée dans ce tutoriel)

• Maintenant: lance la sauvegarde immédiatement.
• Ultérieure: planifie une tâche pour la sauvegarde

Si une sauvegarde existe déjà vous aurez ce message d’avertissement

That’s All.

Difficulté :
Modification : -
Crédits : -

Note: There is a print link embedded within this post, please visit this post to print it.

]]> http://quick-tutoriel.com/sauvegarde-dactive-directory-sous-w2k3/feed 0 http://quick-tutoriel.com/verifier-linstallation-et-linitialisation-dactive-directory?utm_source=rss&utm_medium=rss&utm_campaign=verifier-linstallation-et-linitialisation-dactive-directory&utm_source=rss&utm_medium=rss&utm_campaign=verifier-linstallation-et-linitialisation-dactive-directory http://quick-tutoriel.com/verifier-linstallation-et-linitialisation-dactive-directory#comments Sat, 14 Mar 2009 09:00:01 +0000 Le Webmaster http://quick-tutoriel.com/?p=792
Le processus d’installation d’Active Directory crée un certain nombre d’objets par défaut dans la base de données Active Directory. Il crée également le dossier système partagé ainsi que la base de données et les fichiers ...]]>

Le processus d’installation d’Active Directory crée un certain nombre d’objets par défaut dans la base de données Active Directory. Il crée également le dossier système partagé ainsi que la base de données et les fichiers journaux.

Voici les points à vérifiez sur votre serveur, pour vous assurer d’un bon fonctionnement d’Active Directory dans votre réseau suite à une nouvelle installation ou à un redémarrage de votre serveur.

Vérifier la structure des dossiers

Pour vérifier que la structure de dossiers a été créée, exécutez la procédure suivante :
1 Aller sur Démarrer, puis sur Exécuter.
2 Saisissez %systemroot%\sysvol et cliquez sur OK, l’explorateur Windows affiche le contenu du dossier SYSVOL, qui doit réunir les sous-dossiers domain, staging, staging areas et sysvol.

Vous devez vérifier que la structure de dossiers SYSVOL et que les dossiers partagés nécessaires ont été créés. Si le dossier SYSVOL n’a pas été créé correctement, ses données (stratégie de groupe et scripts, par exemple) ne seront pas répliquées entre les contrôleurs de domaine.

Vérifier les dossiers partagés

Pour vérifier que les dossiers partagés nécessaires ont été créés, saisissez net share à l’invite de commandes et appuyez sur Entrée. Les partages NETLOGON et SYSVOL doivent apparaître.

Vérifier la base de données et les fichiers journaux

Pour vérifier que la base de données et les fichiers journaux d’Active Directory ont été créés, cliquez sur Démarrer, sur Exécuter, saisissez %systemroot%\ntds et cliquez sur OK. L’explorateur Windows affiche le contenu du dossier Ntds, qui doit réunir les fichiers suivants :

• Ntds.dit : fichier de la base de données de l’annuaire.
• Edb.log : fichiers journaux des transactions et des points de vérification.
• Edb.chk : (Fichier de point de contrôle, qui permet de suivre les données écrites dans la base)
• Res*.log : fichiers journaux réservés.

Lors de l’installation d’Active Directory sur le premier contrôleur de domaine d’un nouveau domaine, plusieurs objets par défaut sont créés. Ces objets peuvent être des conteneurs, des utilisateurs, des ordinateurs, des groupes et des unités d’organisation.

A l’aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory dans les outils d’administration vérifier la présence de ces conteneurs.

Vérifier la configuration DNS

Si vous autorisez l’Assistant Installation d’Active Directory à configurer le DNS automatiquement, et si votre installation prend en charge les mises à jour dynamiques, le service Netlogon enregistre un certain nombre d’inscriptions de ressources SRV par défaut sur le serveur DNS.
Vous devez avoir un serveur DNS installé et fonctionnel pour AD, ainsi que les clients qui y référent. Pour vérifier le service DNS sous Widnows Server, utilisez la MMC DNS et vérifiez que les enregistrements de zones et ressources sont bien créés pour chaque zone. Active Directory créé ses enregistrements SRV dans les dossiers suivants :

_Msdcs/Dc/_Sites/Default-first-site-name/_Tcp
_Msdcs/Dc/_Tcp
Pour les services suivants :
_kerberos
_ldap

Voici les étapes permettant de vérifier la configuration DNS :

1. Cliquez sur Démarrer, Outils d’administration, puis sélectionnez DNS.
2. Dans l’arborescence de la console DNS, double-cliquez sur le serveur DNS, puis dans la zone de recherche directe, sélectionnez tutoriel-info.dyndns.org et développez les nœuds _msdcs, _sites, _tcp et _udp pour voir les inscriptions de ressources par défaut.

Le service Netlogon crée un fichier journal qui contient les inscriptions de ressources SRV. Ce fichier est stocké dans %systemroot%\system32\config\Netlogon.dns.

Vérifier l’intégration du DNS à Active Directory

Si vous autorisez l’Assistant Installation d’Active Directory a configuré automatiquement un DNS de base et que la solution DNS prenne en charge les mises à jour dynamiques, l’Assistant configure une zone de recherche directe intégrée à Active Directory prenant en compte le nom du domaine. La configuration de cette zone modifie l’emplacement de stockage des données de la zone, qui passent du fichier de zone à Active Directory sur le serveur. Si vous souhaitez vérifier l’intégration de DNS, affichez les propriétés de la zone DNS et du serveur DNS.

Voici les étapes permettant d’effectuer cette vérification :

• Cliquez sur Démarrer, Outils d’administration, puis sélectionnez DNS.
• Dans l’arborescence de la console DNS, double-cliquez sur le serveur DNS, puis dans la zone de recherche directe, sélectionnez tutoriel-info.dyndns.org. Cliquez du bouton droit sur la zone et choisissez Propriétés dans le menu contextuel. Une boîte de dialogue apparaît.

• Sous l’onglet Général, vérifiez que l’onglet Type indique Intégrée à Active Directory. Dans l’onglet « Général » des « Propriétés » de la zone DNS, on peut décider de n’autoriser que les Mises à jour dynamiques « Sécurisé uniquement ».   Cliquez sur OK.
• Dans l’arborescence de la console, cliquez sur le bouton droit sur le serveur DNS (Ici SERVER2) et choisissez Propriétés dans le menu contextuel. Une boîte de dialogue apparaît.
• Sous l’onglet Avancé, vérifiez que, dans la zone intitulée Charger les données de zone au démarrage, l’option À partir de Active Directory et du registre est activée. Cliquez sur OK.

Vérifier le mode Restauration des annuaires

Cette option d’amorçage permet de restaurer Active Directory sur un contrôleur de domaine. Elle n’est pas disponible pour les serveurs membres. Vérifiez qu’elle est opérationnelle avec le mot de passe que vous avez saisi au cours de l’installation Active Directory. Vous en aurez peut-être besoin au cours des opérations de maintenance ou de restauration.

Voici les étapes à réaliser :

• Redémarrez votre serveur et appuyez sur F8 lorsque vous voyez apparaître le menu d’amorçage.
• Dans le menu d’options avancées de Windows, sélectionnez Mode restauration Active Directory en vous servant des touches de défilement du clavier. Appuyez sur Entrée.

• Le menu d’amorçage réapparaît avec la mention Mode restauration Active Directory en lettres bleues au bas de l’écran. Sélectionnez le système d’exploitation à démarrer et appuyez sur Entrée. Le système redémarre en mode restauration des services d’annuaire. Cela peut prendre quelques minutes.
• Dans la fenêtre de bienvenue de Windows, cliquez sur Ctrl+Alt+Supp. Ouvrez une session sur l’ordinateur local en utilisant le nom de compte administrateur (spécifié au cours de la configuration du serveur) et le mot de passe du mode Restauration (spécifié pendant l’installation d’Active Directory). Cliquez sur OK.

REMARQUE
Il n’est pas possible d’utiliser le nom et le mot de passe administrateur Active Directory car le service est déconnecté et la vérification de compte ne peut avoir lieu. C’est la base de compte SAM qui intervient pour le contrôle des accès à Active Directory sur l’ordinateur pendant que ce dernier est déconnecté.

• Un message vous avertit que Windows fonctionne en mode sans échec. Cliquez sur OK pour démarrer le contrôleur de domaine en mode sans échec.
• Pour retourner au fonctionnement normal d’Active Directory, redémarrez votre serveur.

Vérifier les journaux d’événements

Après avoir installé Active Directory, jetez un œil dans les journaux des événements pour prendre connaissance des éventuelles erreurs produites lors du processus d’installation. Les messages d’erreur générés lors de l’installation sont enregistrés dans les journaux Système, Service d’annuaire, Serveur DNS et Service de réplication de fichier.

• Sélectionnez Démarrer, puis cliquez du bouton droit sur le poste de travail.
• Développez le nœud Observateur d’événements, puis parcourez l’ensemble de journaux.

Vérifier que le 1er contrôleur de domaine (DC) soit catalogue général (GC)

Lancez la MMC Site et Services AD

• Double cliquez sur Sites, ouvrez Servers, et sélectionnez votre serveur
• Double cliquez sur votre Controleur de Domaine
• En dessous du serveur, un objet NTDS Settings est affiché. Cliquez bouton droit et sélectionnez Propriétés.
• Dans l’onglet General, Vérifiez que la boite Global Catalog est séléctionnée.

That’s All.

Difficulté :
Modification : -
Crédits : -

Note: There is a print link embedded within this post, please visit this post to print it.

Active Directory (AD) est la mise en œuvre par Microsoft des services d’annuaire pour une utilisation principalement destinée aux environnements Windows. L’objectif principal d’Active Directory est la fourniture à un réseau d’ordinateurs utilisant le système Windows de services centralisés d’identification et d’authentification. Il permet également l’attribution et l’application de stratégies, la distribution de logiciels, et l’installation de mises à jour critiques par les administrateurs. Active Directory répertorie les éléments d’un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées. Si les administrateurs ont renseigné les attributs convenables, il sera possible d’interroger l’annuaire pour obtenir par exemple : « Toutes les imprimantes couleurs à cet étage du bâtiment ».

Active Directory est présent sur Windows 2000 Server, Windows Server 2003, Windows XP, Windows Vista et Windows Server 2008, il résulte de l’évolution de la base de compte SAM. Un serveur informatique hébergeant l’annuaire Active Directory est appelé « contrôleur de domaine ».

Active Directory stocke ses informations et paramètres dans une base de données centralisée. La taille d’une base Active Directory peut varier de quelques centaines d’objets pour de petites installations à plusieurs millions d’objets pour des configurations volumineuses.

Dans les premiers documents Microsoft mentionnant son existence, Active Directory s’est d’abord appelé NTDS (pour NT Directory Services, soit « Services d’annuaire de NT » en français). On peut d’ailleurs encore trouver ce nom dans la littérature couvrant le sujet ainsi que dans certains exécutables AD comme NTDSUTIL.EXE par exemple.

Défragmenter la Base Active Directory (AD) à l’aide de NTDSUTIL.

L’utilitaire ntdsutil sert de maintenance des bases de données Active Directory. Il est utilisé pour la défragmentation, le nettoyage des métadonnées de contrôleurs de domaine abandonnés ou la gestion des opérations FSMO (Flexible Single Master Operations).

Afin d’optimiser au maximum la défragmentation, il est nécessaire de redémarrer le serveur en mode sans échec.

2 modes de maintenance existe pour AD :
- ONLINE (la défragmentation s’effectue toutes les 12 heures, la base est optimisé mais la taille reste inchangée).
- OFFLINE (optimisation totale, défragmentation + optimisation de la taille de la base AD)

Procédure pour une maintenance OFFLINE : (Redémarrer le serveur en mode sans échec en appuyant sur F8)

Suivez les copies d’écran ci-dessous en faisant les même choix.

Après le démarrage du serveur, ouvrer la console et taper la commande suivante : NTDSUTIL FILE

- A l’invite File maintenance, tapez compact to %s. %s représente un répertoire cible vide. Cette commande fait appelle à la  commande essentutl.exe pour compacter la base existante et écrire les données dans le répertoire spécifié.

- Après l’opération de compactage validée, copiez le nouveau fichier ntds.dit dans le répertoire %systemroot%NTDS et supprimez les anciens fichiers de journaux situés dans %systemroot%NTDS

- Tapez deux fois la commande quit

- Redémarrez la machine

Autres commandes de maintenance de NTDSUTIL FILES

Files
Fournit les commandes permettant de gérer les fichiers de données et les fichiers journaux du service d’annuaire. Le fichier de données est nommé Ntds.dit. À l’invite files:, tapez l’un des paramètres répertoriés sous Syntaxe.

Syntaxe
{compact to %s|header|info|integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db %s|set path logs %s|set path working dir %s}

Paramètres

compact to %s (où %s identifie un répertoire cible vide)
Appelle Esentutl.exe pour compresser le fichier de données existant et écrit le fichier compressé dans le répertoire spécifié. Le répertoire peut être distant, c’est-à-dire mappé par l’intermédiaire de la commande net use ou d’une autre commande similaire. Une fois la compression terminée, archivez l’ancien fichier de données et déplacez le nouveau fichier compressé vers l’emplacement d’origine du fichier. ESENT prend en charge la compression en ligne, mais cette compression réorganise uniquement les pages dans le fichier de données et ne libère pas l’espace pour le système de fichiers. Le service d’annuaire appelle régulièrement le processus de compression en ligne.

header
Affiche l’en-tête du fichier de données Ntds.dit à l’écran. Cette commande permet de faciliter la résolution des problèmes d’analyse de base de données.

info
Analyse et signale l’espace libre des disques installés dans le système, lit le Registre, puis signale la taille des fichiers de données et des fichiers journaux. Le service d’annuaire gère le Registre, qui identifie l’emplacement des fichiers de données, des fichiers journaux et du répertoire de travail du service d’annuaire.

integrity
Appelle Esentutl.exe afin d’effectuer une vérification d’intégrité sur le fichier de données, laquelle permet de détecter tout type de corruption de bas niveau de la base de données. Cette commande lit chaque octet du fichier de données; le traitement des bases de données volumineuses peut donc être une opération longue. Notez que vous devez toujours exécuter la commande Recover avant de procéder à une vérification d’intégrité.

move DB to %s (où %s identifie un répertoire cible)
Déplace le fichier de données Ntds.dit vers le nouveau répertoire spécifié par %s et met à jour le Registre de sorte que, au redémarrage du système, le service d’annuaire utilise le nouvel emplacement.
move logs to %s(où %s identifie un répertoire cible)
Déplace les fichiers journaux du service d’annuaire vers le nouveau répertoire spécifié par %s et met à jour le Registre de sorte que, au redémarrage du système, le service d’annuaire utilise le nouvel emplacement.

recover
Appelle Esentutl.exe afin de procéder à une récupération logicielle de la base de données. La récupération logicielle analyse les fichiers journaux et garantit que toutes les transactions qui y sont validées sont également répercutées dans le fichier de données. Le programme Windows2000 Backup tronque les fichiers journaux de manière appropriée. Les journaux sont utilisés pour garantir que les transactions validées ne seront pas perdues si votre système connaît une défaillance ou si une coupure de courant inattendue se produit. Les données de transaction sont toujours écrites en premier dans le fichier journal, puis dans le fichier de données. Lorsque vous redémarrez après une défaillance, vous pouvez exécuter de nouveau le journal afin de reproduire les transactions qui ont été validées, mais qui n’avaient pas encore été répercutées dans le fichier de données.
set path backup %s (où %s identifie un répertoire cible)
Définit la cible de sauvegarde entre disques comme étant le répertoire spécifié par %s. Le service d’annuaire peut être configuré pour effectuer une sauvegarde en ligne entre disques à intervalles réguliers.

set path db %s (où %s identifie un répertoire cible)
Met à jour la partie du Registre qui identifie l’emplacement et le nom du fichier de données. Utilisez cette commande uniquement pour reconstruire un contrôleur de domaine ayant perdu son fichier de données et qui n’est pas restauré par l’intermédiaire de procédures de restauration normales.

set path logs %s (où %s identifie un répertoire cible)
Met à jour la partie du Registre qui identifie l’emplacement des fichiers journaux. Utilisez cette commande uniquement pour reconstruire un contrôleur de domaine ayant perdu ses fichiers journaux et qui n’est pas restauré par l’intermédiaire de procédures de restauration normales.

set path working dir %s (où %s identifie un répertoire cible)
Définit la partie du Registre qui identifie le répertoire de travail du service d’annuaire comme étant le répertoire spécifié par %s.
%s Variable alphanumérique, telle que le nom d’un domaine ou d’un contrôleur de domaine.

quit
Permet de revenir au menu précédent ou de quitter l’utilitaire.

That’s All.

Difficulté :
Modification : Suppression du format PDF, pour un format blog.
Crédits : -

Note: There is a print link embedded within this post, please visit this post to print it.