RODC: partie 2 – Préparatifs et installation

Sommaire

 

Introduction

Après vous avoir présenté la fonctionnalité RODC depuis notre article RODC: partie 1 – Présentation nous allons maintenant passer à son installation en nous attardant premièrement sur les pré-requis à sa mise en place.

 

Les pré-requis

Pour assurer la pertinence de la mise en place d’un RODC au sein de votre infrastructure vous devez disposer d’un réseau WAN constitué d’au moins deux sites. Sauf dans le cas où vous voudriez profiter des avantages des rôles administratifs, mettre un RODC sur un site unique ne vous apportera que peu de choses. Il en va de même pour un site disposant déjà d’un contrôleur de domaine accessible en écriture.

Veuillez noter que votre premier contrôleur de domaine racine ou enfant ne peut être un RODC du fait qu’il ne gère pas les réplications sortantes, n’a pas d’accès en écriture sur la base d’annuaire et qu’il ne peut se voir attribuer le moindre maîtres d’opérations.

 

Techniquement, il est nécessaire de respecter ou de prendre en compte les points suivants:

  • Les niveaux fonctionnels: Vous devez disposer d’un niveau fonctionnel de forêt et de domaine en 2003 ou supérieur.
  • Les versions des schémas: Les versions du schéma de la forêt et du domaine doivent être au minimum en 2008. Il faudra également modifier  le schéma pour accueillir la fonctionnalité RODC qui nécessite une mise à jour particulière.
  • La version de vos contrôleurs de domaine: Pour chaque RODC en version 2008 ou 2008 R2 déployé sur un domaine, vous devez avoir au minimum un serveur en version 2008 à disposition sur chacun de ces domaines pour la réplication. Pour assurer la tolérance de panne, il est même conseillé de disposer d’au moins deux contrôleurs 2008 en écriture. Si le RODC est en 2008 R2 et que vous ne disposez que de contrôleurs 2008 en écriture alors certaines erreurs dans le journal d’évènements pourront apparaitre mais que vous pouvez totalement occulter (event id 1699).
  • La version de vos postes clients: Côté client, les versions 2000 ne sont pas supportées. Des versions ultérieures jusqu’à Vista, il sera nécessaire d’appliquer un hotfix disponible ici. A partir de Vista SP1, la compatibilité est native avec RODC. Vous avez des informations exhaustives depuis l’article Technet Known Issues for Deploying RODCs.
  • Prise en charge des FAS (Filtered Attribute Set): Pour gérer le filtrage des attributs, il sera impératif de placer le rôle maître de schéma sur un contrôleur en version 2008. Et il est fortement recommandé de passer le niveau fonctionnel de votre forêt en 2008.
  • Placement du catalogue global: Il est fortement conseillé de mettre le RODC en catalogue global car la mise en cache de l’appartenance aux groupes universels peut provoquer des résultats inattendus (problème de rafraichissement entre la mise en cache des mots de passe et de l’appartenance aux groupes universels). L’activation de cette fonctionnalité sur le RODC permettra en plus de cantonner les requêtes clients sur leur site respectif. L’inconvénient principal sera une consommation relativement accrue de la bande passante donc l’activation de cette fonction dépendra toute fois de cette restriction.

Les phases de préparation

Cet article s’appuie sur une maquette constituée d’un contrôleur de domaine accessible en écriture placé sur le site de Paris et de notre RODC sur le site de Marseille.

 

Site principal :

  • Nom du site: PARIS
  • Réseau IP du site: 192.168.0.0/24
  • Domaine Active Directory: corpnet.net
  • Nom du contrôleur: SRVAD
  • Type de version: Windows 2008 R2 Edition Standard
  • IP du contrôleur: 192.168.0.1

 

Site annexe:

  • Nom du site: MARSEILLE
  • Réseau IP du site: 192.168.1.0/24
  • Domaine Active Directory: corpnet.net
  • Nom du contrôleur: RODC
  • Type de version: Windows 2008 R2 Edition Standard
  • IP du contrôleur: 192.168.1.1

 

Vous devez obligatoirement avoir déjà à votre disposition un contrôleur de domaine en 2008 au sein de votre domaine afin de pouvoir accueillir le RODC. Vos schémas sont donc déjà à jour. Cependant il est probable que vous désiriez intégrer votre RODC sous une version 2008 R2 et dans ce cas-là il faudra mettre à jour de nouveau vos schémas.

Si vous disposez déjà d’un 2008 R2 en tant que contrôleur de domaine alors il faudra préparer nos partitions de schéma pour l’accueil du RODC qui nécessite une mise à jour. Placez donc le DVD d’installation de 2008 R2 sur votre maître de schéma et saisissez la commande « d:\support\adprep\adprep.exe /rodcprep » ou « d:\support\adprep\adprep32.exe /rodcprep » (D: est notre lecteur de DVD) selon qu’il soit en 64bits (adprep.exe) ou en 32bits (adprep32.exe).

{gallery}24_RODC_install/3{/gallery}

 

 

 

 

 

 

Si vous ne disposiez que d’une version 2008 alors lancez depuis un invite de commandes « d:\support\adprep\adprep.exe /forestprep » ou« d:\support\adprep\adprep32.exe /forestprep »  pour mettre à jour votre forêt.

{gallery}24_RODC_install/1{/gallery}

 

 

 

 

 

Il faudra faire de même pour le schéma du domaine en lançant la commande « d:\support\adprep\adprep.exe /domainprep » ou « d:\support\adprep\adprep32.exe /domainprep ».

{gallery}24_RODC_install/2{/gallery}

 

 

 

 

 

Remarque : les résultats fournis ci-dessus nous signale que nos schémas sont déjà à jour car en effet notre contrôleur de domaine est déjà en 2008 R2.

Une fois le schéma mis à jour, nous allons configurer le site Active Directory de Marseille pour l’accueil du RODC. Pour cela, ouvrez la mmc « Sites et services Active Directory » depuis « Démarrer » | « Outils d’administration ». Comme vous pouvez le voir ci-dessous, nous avons déjà  créé le site PARIS contenant SRVAD et le subnet 192.168.0.0/24 qui lui est rattaché.

{gallery}24_RODC_install/4{/gallery}

 

 

 

 

 

 

 

Nous allons faire de même pour le site de Marseille. Faites un clic droit sur « Sites » et sélectionnez « Nouveau site… ». Entrez le nom du site et sélectionnez le nom du lien DEFAULTIPSITELINK.

{gallery}24_RODC_install/5{/gallery}

 

 

 

 

 

 

 

 

Le site de Marseille étant créé, nous allons ensuite pouvoir lui rattacher le sous réseau 192.168.1.0/24 en se plaçant sur « Subnets » et en sélectionnant « Nouveau sous-réseau… » à l’aide d’un clic droit. Entrez donc votre adresse et votre masque de sous-réseau 192.168.1.0/24 depuis le champs préfixe et associez-le au site MARSEILLE.

{gallery}24_RODC_install/6{/gallery}

 

 

 

 

 

 

 

 

 

Pour plus de clarté, il vous sera possible de renommer votre lien de site créé par défaut et portant le nom DEFAULTIPSITELINK en vous rendant dans « Inter-Site Transports » | « IP ».

{gallery}24_RODC_install/8{/gallery}

 

 

 

 

 

 

 

Si vous désirez une configuration mieux adaptée à votre structure, Technet propose l’article RODC Placement Considerations.

Pour finir au niveau de la préparation, il sera intéressant de créer un groupe Administrateurs Marseille qui se verra octroyer les droits d’administration sur le RODC.

 

 

Installation du RODC

Le domaine étant prêt à accueillir le RODC et notre nouveau site Active Directory étant créé, nous allons passer à l’installation du RODC. Premièrement réalisez une nouvelle installation d’un Windows 2008. Si vous avez besoin d’aide pour réaliser l’installation nous vous invitons à vous rendre sur l’article Installation de Windows 2008 R2.

Remarque: Il peut être également intéressant de déployer le RODC sur une installation Windows de type Core cependant nous traiterons de ce sujet dans un autre article très prochainement.

Nous allons maintenant promouvoir ce nouveau serveur en tant que RODC grâce à la commande « DCPROMO ». Pensez à cocher « Utiliser l’installation en mode avancé ».

{gallery}24_RODC_install/9{/gallery}

 

 

 

 

 

 

 

 

 

Notre RODC sera bien entendu intégré dans une forêt existante en tant que contrôleur supplémentaire. Il faudra donc ensuite préciser le nom de domaine Active Directory et les informations d’authentification permettant l’ajout du contrôleur au domaine (un compte membre du groupe administrateurs du domaine).

{gallery}24_RODC_install/10{/gallery}

 

 

 

 

 

 

 

 

 

Il faudra que vous sélectionniez le site correspondant au nouveau contrôleur. Si vous avez suivi correctement les étapes de préparation, l’assistant détectera automatiquement le site voulu.

{gallery}24_RODC_install/11{/gallery}

 

 

 

 

 

 

 

 

 

Cette étape est la plus importante lors de l’installation d’un RODC. C’est justement lors de cette phase que vous définissez votre nouveau contrôleur en tant que RODC en cochant « Contrôleur de domaine en lecture seule (RODC) ».

L’assistant proposera ensuite de définir la stratégie de réplication de mots de passe que vous voulez mettre en place. Nous nous consacrerons à cette tâche ultérieurement donc laissez les paramètres par défaut pour le moment.

Nous passons à la configuration de la délégation d’administration qui permettra d’allouer les droits d’administration locale sur le RODC à un groupe ou à un utilisateur. Nous avons opté pour un groupe. Il nous suffira simplement de définir les membres de ce groupe selon les besoins.

{gallery}24_RODC_install/12{/gallery}

 

 

 

 

 

 

 

 

 

Nous sortons du paramétrage propre au RODC pour reprendre l’assistant tel qu’il se présente pour une promotion traditionnelle. Dans cette partie, vous pouvez choisir de répliquer la base de votre annuaire via le réseau où à partir d’un support. Bien que la dernière solution peut s’avérer très utile surtout si la bande passante est limitée, nous ne la traitons pas dans cet article. Ayant donc choisi de répliquer via le réseau, nous avons la possibilité désormais de choisir notre partenaire de réplication durant l’installation.

{gallery}24_RODC_install/13{/gallery}

 

 

 

 

 

 

 

 

 

Il ne reste plus qu’à définir le stockage des différentes données de votre RODC, de définir le mot de passe de restauration et de vérifier vos paramètres avant d’en finir avec l’assistant.

{gallery}24_RODC_install/14{/gallery}

 

 

 

 

 

 

 

 

 

Une fois le serveur redémarré, il est désormais promu en tant que contrôleur de domaine en lecture seule. Vous pouvez le vérifier assez simplement à partir de la console « Utilisateurs et ordinateurs Active Directory ». Depuis le conteneur « Domain Controllers », vous avez la colonne « type de contrôleur de domaine » vous indiquant si un objet est en lecture seule.

{gallery}24_RODC_install/15{/gallery}

 

 

 

 

 

 

Conclusion

Votre RODC est désormais installé et opérationnel. Maintenant, il ne vous reste plus qu’à configurer le PRP, les FAS et l’ASR afin de sécuriser et gérer au mieux votre nouvelle installation. Pour cela, nous vous proposons de consulter les articles RODC: partie 3 – Configuration de PRP et RODC: partie 4 – Configuration de FAS et ARS.

RODC: partie 1 – Présentation

Sommaire

 

 

Introduction

RODC fait partie des grandes nouveautés qui sont apparues avec la version de Windows Server 2008 et a fait l’objet d’une grande curiosité. D’un premier abord, RODC est un sujet piège car relativement simple à maîtriser et sans réelle complexité. Nous avons donc décidé de traiter le sujet de manière exhaustive.

Nous allons voir en détail dans une série de quatres articles ce que peut nous apporter cette fonctionnalité et les étapes de réalisation. Les deux articles disponibles sur Technet AD DS: Read-Only Domain Controllers et Read-Only Domain Controllers Step-by-Step Guide en seront la pierre angulaire. Ce premier article est consacré à la présentation de la fonctionnalité.

 

 

Présentation

Un contrôleur de domaine Active Directory travaille, et cela en tout logique, à partir d’une base de données qui est constituée de partitions d’annuaire. De façon simplifiée, chaque contrôleur dispose d’un accès en lecture/écriture leur permettant de lire, écrire ou modifier toute type d’information et de les répliquer sur leurs pairs. La particularité principale du contrôleur de domaine en lecture seule est, comme son nom l’indique, d’avoir simplement un accès en lecture seule à la quasi-totalité de la base (en quasi-totalité car nous verrons plus loin que certaines données sensibles ne sont pas répliquées sur le RODC). Si nous ouvrons par exemple la console « Utilisateurs et ordinateurs Active Directory » à partir d’un RODC et que nous accédons aux propriétés d’un utilisateur, nous n’avons pas la possibilité d’ajouter ou de modifier des données mais seulement de les visualiser.

{gallery}23_RODC_intro/1{/gallery}

 

 

 

 

 

 

 

 

 

Si la zone DNS est intégrée à Active Directory, elle est soumise aux mêmes contraintes que le reste des données de l’annuaire. Elle n’est accessible qu’en lecture seule depuis le RODC. Ci-dessous vous pouvez voir que toutes les fonctions de création ou de modification sont grisées depuis la console « gestionnaire DNS » à partir d’un RODC.

{gallery}23_RODC_intro/2{/gallery}

 

 

 

 

 

 

 

 

 

Ne pouvant ajouter ou modifier des données de l’annuaire depuis un RODC, la réplication se réalise uniquement d’un contrôleur de domaine accessible en écriture vers un RODC et est donc unidirectionnelle. Dans l’exemple suivant, nous voyons depuis la console « Sites et services Active Directory » que seul le contrôleur de domaine accessible en écriture (SRVAD) est défini comme partenaire de réplication pour le contrôleur de domaine en lecture seule (RODC) et pas l’inverse.

{gallery}23_RODC_intro/3{/gallery}

 

 

 

 

 

 

 

Les fonctionnalités avancées

Les fonctionnalités spécifiques du RODC qui attirent notre attention sont :

  • La stratégie de réplication de mot de passe: Appelé communément PRP pour Password Replication Policy, cette fonctionnalité vous permettra de définir les comptes dont les mots de passe seront mis en cache sur le RODC. Cela permettra dans un premier temps d’éviter de stocker sur le RODC les mots de passe des comptes sensibles. Dans un second temps, vous éviterez de faire transiter les requêtes d’authentification vers un contrôleur de domaine accessible en écriture pour les comptes où la mise en cache sera autorisée et de ce fait, le RODC assurera l’authentification des utilisateurs même en cas de rupture de vos liaisons WAN. Enfin si le RODC est volé il suffira simplement de réinitialiser les mots de passes des comptes utilisateurs concernés par cette stratégie.
  • Filtrage des attributs: les FAS pour Filtered Attribute Set correspondent à des attributs définis par défaut qui ne sont pas répliqués sur le RODC pour des raisons de sécurité. Il est par la suite possible de rajouter des attributs en fonction des besoins et des contraintes de sécurité se posant dans votre architecture. A noter que si vous envisagez l’utilisation des FAS et même en allant plus loin si vous désirez que cette fonctionnalité soit pleinement opérationnelle, il sera nécessaire de passer le niveau fonctionnel de votre forêt en 2008 et s’assurer que le maître de schéma est hébergé sur un 2008.
  • Délégation d’administration: L’ASR pour Adminitration Role Separation permet de déléguer l’administration du RODC à un utilisateur ou un groupe d’utilisateurs sans pour autant octroyer des droits sur le domaine. De façon simplifiée, cette délégation est assez similaire aux droits d’administrateur local que l’on peut trouver sur des ordinateurs ou serveurs membres du domaine.

 

Ces trois fonctionnalités sont vu en détail depuis les articles RODC: partie 3 – Configuration de PRP et RODC: partie 4 – Configuration de FAS et ARS.

 

 

En résumé

  • Un accès total en lecture seule à la base annuaire
  • Un accès en lecture seule de la zone DNS intégrée à Active Directory
  • Une mise en cache des informations d’authentification et filtrage des attributs
  • Une réplication unidirectionnelle
  • Une séparation des rôles administratifs

 

 

Cadre d’utilisation

Dans un grand nombre de structures constituées de plusieurs sites, la question de mettre en place un contrôleur de domaine sur les sites annexes peut se poser. Entre l’authentification et l’application de stratégies, les ouvertures de sessions peuvent être souvent longues car la bande passante est souvent limitée et peu optimisée pour ce type d’opération sans la mise en place d’un contrôleur de domaine.

D’un autre côté, la mise en place d’un contrôleur de domaine sur un site distant n’ayant pas à disposition de technicien à-même de le gérer ni d’un endroit approprié pour le stocker de manière sécurisée représentaient un réel frein. Il faut, en général, soit attendre que le site annexe prennent de l’ampleur ou que les utilisateurs fassent tout simplement contre mauvaise fortune bon cœur. Dans d’autres cas, certaines applications exigent d’être hébergées sur des contrôleurs et dans ce cas-là, c’est le service informatique qui fait contre mauvaise fortune bon cœur car malheureusement les contraintes fonctionnelles priment sur les contraintes de sécurité.

Une prise de conscience chez Microsoft de ces différents points a donc amené à la création de cette nouvelle fonctionnalité à partir de la version 2008 pour répondre aux besoins suscités que nous récapitulons:

  • Améliorer les performances sur les sites annexes (optimisation et limitation des flux inter-sites…)
  • Adapter la sécurité à la configuration des lieux (risques de sécurité réduits  au niveau physique et applicatif)
  • Limiter les tâches de gestion et d’administration (intervention limitée de façon ponctuelle et délégation spécifique)

Vous avez l’article Technet Deciding Which Type of Domain Controller Meets the Needs of a Branch Office Location pour appuyer le choix d’un déploiement d’un RODC.

 

 

Conclusion

Nous avons donc défini dans cette première partie et dans les grandes lignes la fonctionnalité RODC sur Windows Server 2008 et ce qu’elle peut vous apporter au sein de votre infrastructure. Si vous êtes intéressé par RODC, vous pouvez maintenant aller plus loin dans sa découverte et consulter l’article suivant RODC: partie 2 – Préparatifs et installation.

Les clichés instantanés de dossiers partagés sous Windows 2008

Sommaire

 

 

Introduction

Le cliché instantané s’appuie sur la technologie Volume Shadow Copy Service introduite avec les versions Windows Server 2003 et reprise sur les architectures 2008. Ce système permet de disposer de plusieurs versions consistantes d’un fichier sur un volume donné et les rendre accessibles aux utilisateurs par le biais de répertoires partagés (on parlera par extension de cliché instantané de dossiers partagés). Un utilisateur lambda aura donc la possibilité de manipuler simplement et de façon autonome différentes versions d’un fichier ou d’un dossier pour le comparer, le copier ou le restaurer celons les cas.

Nous allons donc voir dans cet article la mise en place et la gestion de cette fonctionnalité au sein de votre infrastructure.

Nous insistons d’ores et déjà sur le fait que le système de cliché instantané permet de simplifier certaines tâches mais ne doit pas être une solution de sauvegarde unique sur votre architecture. C’est une solution complémentaire. Il est, par exemple, impossible de restaurer le système ou de récupérer les données d’un disque défectueux à partir des clichés instantanés.

 

 

Fonctionnement des clichés instantanés

Comme nous le disions en introduction les clichés instantanés de dossiers partagés se basent sur VSS qui est doté de mécanismes complexes. Si vous désirez comprendre de façon approfondie son fonctionnement vous pouvez vous rendre sur How Shadow Copies for Shared Folders Work depuis Technet.

Pour faire simple, les clichés instantanés réalisent des copies au niveau bloc (et non au niveau fichier) de toutes les données modifiées depuis le dernier cliché réalisé sur le volume. Le système réalise une copie originale des données pour ensuite réaliser des copies différentielles en détectant les blocs modifiés. La réalisation d’un cliché est donc relativement rapide et peu couteuse en espace disque.

Les clichés assurent autant que possible l’intégrité des données d’un volume. Le système est doté de mécanismes pour assurer la meilleure consistance possible aussi bien sur des fichiers que des bases de données. Il est cependant impératif d’utiliser les clichés instantanés de dossiers partagés exclusivement sur des documents de type bureautique ou multimédia pour éviter toute corruption.

 


Les spécificités et bonnes pratiques des clichés instantanés

La solution n’est pas particulièrement contraignante concernant sa mise en œuvre cependant il est intéressant de prendre connaissance de quelques spécifications et bonnes pratiques. La liste ci-dessous se veut la plus exhaustive possible:

  • Le volume doit être absolument être formaté en NTFS.
  • II est conseillé de mettre le stockage des clichés instantanés sur des volumes ayant des tailles de bloc égales ou supérieures à 16K afin d’éviter certains problèmes lors d’une défragmentation. Pour vérifier la taille de bloc sur un volume, il faudra lancer la commande « fsutil fsinfo ntfsinfo » et vérifier la taille de bloc au niveau de la ligne Octets par cluster.
  • {gallery}22_VSS_FOLDERS/1{/gallery}

 

 

 

 

 

  • Si un volume dispose de points de montage, la mise place des clichés instantanés sur ce volume ne prend pas en compte ces points de montage. Il faut mettre en place les clichés instantanés sur chacun des volumes correspondant à vos points de montage.
  • Ne planifiez pas plus d’un cliché par heure et utilisez un stockage distinct pour stocker les clichés instantanés afin de limiter les Entrées/Sorties sur le volume.
  • L’activation des clichés instantanés ne peut se faire que sur un volume dans son intégralité. Il n’est pas possible de sélectionner granulairement des dossiers ou fichiers spécifiques.
  • Privilégiez la restauration de fichiers individuellement plutôt que de restaurer des répertoires surtout s’ils sont volumineux. Outre la charge à assumer pour la restauration, Il peut en résulter une perte des versions précédentes.
  • Si vous supprimez un volume, désactivez les clichés instantanés sous peine d’engendrer des erreurs par la suite.

Il y a certaines particularités concernant le stockage de type cluster que nous ne traitons pas dans cet article.

Technet propose également l’article Designing a Shadow Copy Strategy qui pourra vous intéresser sur la définition de votre stratégie.

 

 

Configurer les clichés instantanés

Pour vous montrer comment configurer les clichés instantanés, nous allons nous appuyer sur un cas simple et concret. Nous avons un serveur de fichier sous 2008 R2 disposant d’un répertoire partagé compta sur un volume ayant comme point de montage E:.

Dans un premier temps, nous allons ouvrir les propriétés des clichés instantanés du serveur en lançant la commande « vssuirun » depuis « Démarrer ».

{gallery}22_VSS_FOLDERS/2{/gallery}

 

 

 

 

 

 

 

 

 

Vous pouvez également accéder à tout moment aux propriétés des clichés instantanés simplement en ouvrant l’explorateur Windows, faire un clic droit sur un volume et sélectionner « Configurer les clichés instantanés… ».

{gallery}22_VSS_FOLDERS/3{/gallery}

 

 

 

 

 

 

 

 

 

Sélectionnez le volume voulu et cliquez sur le bouton « Paramètres… ». Nous accédons désormais à l’ensemble des paramètres relatifs à la configuration des clichés instantanés pour le volume désiré. Nous allons nous y attarder.

{gallery}22_VSS_FOLDERS/4{/gallery}

 

 

 

 

 

 

 

 

 

Volume: indique le volume concerné par le paramétrage.

Zone de stockage : indique sur quel volume seront stockés les clichés. Par défaut, ils seront toujours situés sur le même volume cependant il n’est pas conseillé de procéder de la sorte et de définir un volume dédié au stockage en particulier pour des questions de performance au niveau des accès disque. Les clichés seront situés dans le dossier système System Volume Information.

{gallery}22_VSS_FOLDERS/5{/gallery}

 

 

 

 

 

 

Dans notre exemple nous avons dédié le volume F: pour le stockage des clichés et nous avons défini une taille maximale « illimitée » (La zone de stockage est grisée dans l’exemple ci-dessous car des clichés ont déjà été réalisés).

{gallery}22_VSS_FOLDERS/6{/gallery}

 

 

 

 

 

 

 

 

 

Si vous cliquez sur le bouton « Détails… » vous aurez un récapitulatif de l’espace utilisé sur le volume de stockage et la taille maximale disponible pour chacun des volumes ainsi qu’un rappel sur l’espace disque libre sur ce volume de stockage.

{gallery}22_VSS_FOLDERS/7{/gallery}

 

 

 

 

 

 

 

 

Taille maximale: vous préciserez l’espace à disposition pour le stockage des clichés. L’espace dépendra du nombre de versions de vos fichiers que vous désirez conserver en corrélation à l’espace total occupé. Il ne sera pas aisé de définir l’espace nécessaire pour stocker n versions et seul le temps vous permettra de l’ajuster idéalement. En effet, la taille du cliché sera variable en fonction de l’activité de vos utilisateurs sur leurs partages respectifs et le fonctionnement des applications. Si la taille maximale est fixée à « illimitée » alors vous passerez à la limite de 64 clichés qui est le nombre maximal de clichés supportés par le système. Une fois la limite de stockage ou de version atteinte, un roulement sera réalisé et le plus ancien cliché sera écrasé.

Planification: accessible en cliquant sur le bouton « Planifier… », deux tâches quotidiennes par défaut sont planifiées pour la réalisation de clichés (à 7 Heures et à 12 Heures, du lundi au vendredi). Il suffira donc simplement de modifier les tâches existantes (en modifiant les paramètres de la tâche concernée) ou d’en créer de supplémentaires (à l’aide du bouton « Nouveau ») selon vos besoins.

{gallery}22_VSS_FOLDERS/8{/gallery}

 

 

 

 

 

 

 

 

 

Nous en avons fini avec la configuration du côté serveur. A noter, qu’il est possible de créer ou de configurer les clichés instantanés en ligne de commande et donc d’envisager l’utilisation des scripts. Ne traitant de cette partie, nous vous invitons à vous rendre sur l’article de techotopia.com Configuring Volume Shadow Copy on Windows Server 2008.

 

 

Gérer les clichés instantanés

A partir des propriétés des clichés instantanés (accessibles à partir de vssuirun), il vous est possible de lancer manuellement un cliché instantané sur un de vos volumes sans forcément activer la planification. Pour cela, il suffit simplement de sélectionner le volume désiré et cliquer sur le bouton « Créer ». Il est également possible d’activer ou de désactiver la planification des clichés instantanés sur vos volumes en cliquant respectivement sur les boutons « Activer » ou « Désactiver ».

{gallery}22_VSS_FOLDERS/9{/gallery}

 

 

 

 

 

 

 

 

 

Vous pouvez également agir sur les clichés créés en sélectionnant le volume et le cliché pour ensuite soit le supprimer en cliquant sur le bouton « Supprimer » soit restaurer le cliché à l’aide du bouton « Rétablir ». Si vous vous décidez pour la dernière option, alors vous aurez un message d’avertissement vous prévenant que vous perdrez définitivement les modifications apportées à vos données suite au dernier cliché instantané.

{gallery}22_VSS_FOLDERS/10{/gallery}

 

 

 

 

 

 

 

 

 

Depuis le serveur vous aurez également la possibilité de visualiser, de copier ou de restaurer granulairement un fichier ou un dossier. Pour cela, il suffira simplement de réaliser un clic droit sur le volume, le dossier ou le fichier voulu et sélectionner l’option « Restaurer les versions précédentes ». Une fois que vous accédez à la liste des clichés disponibles et que vous en avez sélectionné un, il suffira de cliquer sur le bouton « Ouvrir » pour visualiser vos données (accessible en lecture seule), de cliquer sur le bouton « Copier… » pour restaurer les données dans un répertoire de destination de votre choix ou de sélectionner « Restaurer… » pour écraser les données présentes sur le volume par celles du cliché.

{gallery}22_VSS_FOLDERS/11{/gallery}

 

 

 

 

 

 

 

 

 

 

Partie cliente

A partir de Windows XP SP2, le client est installé automatiquement sur les stations. Pour les versions antérieures il sera nécessaire d’installer le client pour gérer les clichés instantanés que vous pouvez télécharger ici.

Au niveau configuration sur la partie cliente, dès lors qu’un lecteur réseau pointe directement sur un dossier faisant l’objet de clichés instantanés sur votre serveur, il n’y a rien d’autre à faire.

Depuis un poste Windows 7, nous avons monté le lecteur réseau Z: sur le répertoire partagé Compta hébergé sur le serveur où nous avons préalablement planifié les clichés instantanés. Il suffit donc de réaliser un clic droit sur le lecteur réseau, un répertoire ou un fichier de ce lecteur réseau et de sélectionner « Restaurer les versions précédentes ». Une fois dans l’onglet Versions précédentes des propriétés du fichier. Vous aurez donc les mêmes options que sur le serveur soit « Ouvrir », « Copier… » ou « Restaurer… ».

Remarque: il est possible qu’aucune version précédente d’un fichier ne soit disponible alors que plusieurs clichés ont déjà été effectués. Cela arrive seulement quand le fichier n’a pas été modifié.

{gallery}22_VSS_FOLDERS/12{/gallery}

 

 

 

 

 

 

 

 

 

Tout paraît pour l’instant très simple cependant en allant plus loin, la prise en charge par défaut des restaurations de versions précédentes par les utilisateurs peut poser quelques soucis plus ou moins grave. En effet, rien n’est prévu par défaut pour limiter les droits sur la gestion des clichés du côté utilisateur, à part les listes de contrôle d’accès NTFS. Cela est particulièrement problématique pour la fonctionnalité « Restaurer… ». Si un utilisateur décide de restaurer une version précédente d’un dossier, selon le contenu, cela peut entrainer de lourdes pertes pour les collaborateurs de cet utilisateur travaillant également sur ce même dossier. Idéalement, il faudrait donc limiter cette possibilité à certains utilisateurs (exemple les responsables de services) et les sensibiliser, ou interdire la possibilité d’activer la restauration et de permettre simplement de copier les versions précédentes voulues dans un répertoire différents. Nous vous apportons une solution depuis l’article Clichés instantanés: désactiver l’onglet Versions précédentes ou le bouton Restaurer.

 

 

Conclusion

Nous avons donc vu ensemble que les clichés instantanés sont un très bon complément aux sauvegardes traditionnelles pour les administrateurs surtout en vue du temps qu’ils consacreront à sa mise en place. Outre cet aspect là, cette fonctionnalité offre une réelle avancée pour l’indépendance des utilisateurs à consulter ou restaurer des données sur plage temporelle et sans intervention externe. Elle manque encore de flexibilité au niveau client cependant nous pouvons heureusement y remédier en espérant une évolution future.

Placement des maîtres d’opérations Active Directory

Sommaire

 

 

Introduction

Les maîtres d’opérations que nous avons présentés dans l’article Les maîtres d’opérations Active Directory doivent faire l’objet d’une étude préalable concernant leur positionnement sur vos contrôleurs en fonction de certains critères comme par exemple leur nombre et  la complexité de votre annuaire (nombre de sites, de domaines, d’utilisateurs, des connectivités…).

Le placement de certains maîtres d’opérations sera également intimement lié à celui des catalogues globaux que nous présentons dans l’article  Le catalogue global Active Directory. Il faudra évidement prendre en considération cet élément crucial dans votre élaboration.

Nous allons donc voir ensemble les différents cas de figure pour obtenir le meilleur placement possible.

 

 

Attribution initiale des maîtres d’opérations

Lors de l’installation de l’annuaire Active Directory, le premier contrôleur de domaine de la forêt se voit attribuer les cinq rôles en plus d’être promu catalogue global. Pour chaque nouveau domaine supplémentaire au sein de cette forêt, le premier contrôleur se verra attribuer quant à lui les 3 rôles de niveau domaine. Le nombre des maîtres d’opérations dans votre infrastructure est calculable à l’aide de la formule 2 + (n x 3)n est le nombre de domaines dans votre forêt.

 

 

La disponibilité des maîtres d’opérations

Les maîtres d’opérations ne nécessitent pas dans leur ensemble une haute disponibilité (bien entendu il faut toutefois mettre tous les moyens en œuvre pour éviter qu’une indisponibilité arrive) d’ailleurs, rien ne le permet. Nous disions « dans leur ensemble » car l’incapacité momentanée à ne pas pouvoir modifier le schéma AD ou allouer une plage RID n’a pas du tout la même implication que la gestion des erreurs d’authentification que propose le PDC. En effet, si un seul maître doit attirer notre attention, il s’agira de lui! Il est le maîtres d’opérations le plus sollicité.

Si cela est possible, pensez à prévoir des maîtres d’opérations de remplacement en cas d’avarie ce qui est appelé « Standby Operations Master ». Ce dernier sera simplement un contrôleur désigné comme remplaçant d’un maître d’opérations.  Si nécessaire, il suffira de réaliser rapidement une saisie des rôles depuis ce serveur pour retrouver un fonctionnement normal. Il sera  impératif de disposer d’une réplication directe de partenaire entre le maître et le remplaçant potentiel afin de limiter la perte de données et d’assurer efficacement un transfert si nécessaire.

 

 

Les règles de placement selon l’architecture

Le placement des maîtres d’opérations va dépendre en priorité de l’architecture de votre annuaire et en fonction des points suivants :

  • Le nombre de contrôleurs de domaine : le placement dépendra bien entendu du nombre de contrôleurs présents dans votre réseau. Si vous ne disposez de pas plus de deux contrôleurs, vous laisserez les maîtres d’opérations sur le premier contrôleur promu. Il faudra cependant veiller à ce qu’il soit doté de ressources suffisantes pour assurer des performances optimales et spécialement pour l’émulateur PDC (il sera intéressant dès lors d’envisager une priorisation présentée dans l’article Gérer la charge de vos contrôleurs de domaine).
  • Le nombre de site et leur nature : si vous disposez de plusieurs sites Active Directory, il faudra relever l’ensemble des caractéristiques qui les compose et en priorité le nombre d’utilisateurs et le type de connexion. Le site disposant du meilleur lien aura la faveur du placement pour permettre de faire aisément la réplication sur les autres sites et d’être plus rapidement joignable par la majorité des éléments de votre réseau étendu.  Si les liens sont sensiblement identiques, il faudra prendre en compte le nombre d’utilisateurs sur chacun de vos sites et envisager en particulier de placer le maître PDC sur le plus conséquent.
  • Le nombre de domaine dans la forêt : dans ce cas de figure, il faudra tout simplement prendre en compte les deux points ci-dessus mais également les maîtres de niveau forêt (maître de schéma et le maître de nommage de domaine) qui devront faire l’objet d’une attention particulière. Il sera judicieux de privilégier le site de l’équipe d’administration en charge du schéma Active Directory et de la gestion des domaines (principalement la création et la suppression de domaine AD).

 

 

Les règles de placement selon les maîtres d’opérations

Placez de préférence le maître émulateur PDC avec le maître RID si la charge le permet. Dans le cas contraire, vous pouvez opter pour une priorisation ou séparer ces maîtres et créer un partenariat de réplication directe entre les deux maîtres.

Le PDC doit être placé sur la location le plus rapidement disponible par le plus grand nombre d’utilisateurs (il faudra tenir compte du lien et du nombre d’utilisateurs).

Pour un contrôle étroit  des maîtres de forêt (maître de schéma et maître d’attribution des noms de domaine), placez-les sur le même contrôleur et à proximité des équipes techniques les plus susceptibles d’en faire appel. Pour une forêt de niveau fonctionnel inférieur à 2003, placez impérativement le maître d’attribution des noms de domaine avec un catalogue global.

Concernant le placement du maître d’infrastructure, cela dépendra dans un premier temps de la nature de votre forêt. Si vous ne disposez que d’une forêt mono-domaine (qu’un seul domaine Active Directory) alors il ne sera d’aucune utilité. Dans le cas contraire, cela dépendra du placement de vos catalogues globaux. Soit vous configurez tout vos contrôleurs de domaine en tant que catalogue global pour vous retrouvez dans une situation similaire à une forêt mono-domaine (le maître d’infrastructure n’est pas utilisé), soit vous veillez à ce que le maître d’infrastructure ne soit pas catalogue global. En effet et sans entrer dans les détails, le maître d’infrastructure ne doit pas cohabiter avec un catalogue global sous peine de ne pas remplir son rôle.

Un dernier et nouveau cas apparu avec Windows 2008 R2 est l’utilisation de la corbeille Active Directory (pour plus d’information sur le sujet rendez-vous ICI). Si vous activez la corbeille Active Directory, le maître d’infrastructure ne sera plus d’aucune utilité.  

 

 

Conclusion

Cet article marque la fin de la série d’articles relatifs aux maîtres d’opérations et au catalogue global Active Directory. Nous espérons que cela vous aura aidé à mieux appréhender le sujet. D’autres notions liées à ce vaste sujet seront cependant abordées très prochainement comme la création de lien de réplication directe par exemple.

Si vous désirez approfondir le sujet du placement des maîtres d’opérations, voici une liste de liens susceptible de vous intéresser :

Planning FSMO Roles in Active Directory (petri.co.il)

Placing Operations Master Roles (Technet)

Placement et optimisation des rôles FSMO (KB Microsoft)

Localiser et déplacer les maîtres d’opérations Active Directory

Sommaire

 

 

Introduction

Les maîtres d’opérations peuvent être déplacés d’un contrôleur à un autre pour des raisons de performances ou de bonnes pratiques. Les cas les plus fréquents sont cependant une migration ou pire un crash d’un contrôleur. Nous allons donc voir dans un premier temps comment localiser les maîtres d’opérations dans votre infrastructure et ensuite comment les déplacer celons les différents cas de figure.

Si vous désirez plus d’information sur les maîtres d’opérations, nous vous engageons à lire notre article Les maitres d’opérations Active Directory.

Microsoft a également réalisé un KB très complet sur la localisation des rôles que vous pouvez consulter ici.

 

 

Localiser et déplacer les maîtres d’opérations par l’interface graphique

Nous allons débuter par l’utilisation de l’interface graphique pour localiser et déplacer les 5 rôles. En effet, l’interface graphique permet de réaliser les deux opérations de façon similaire. Bien entendu, les deux possibilités n’ont pas les mêmes implications cependant nous avons trouvé plus pertinent de les regrouper.

Localisons dans un premier temps les maîtres d’opérations de niveau domaine (Maître RID, Maître d’infrastructure et émulateur PDC) en ouvrant la mmc « Ordinateurs et utilisateurs Active Directory » depuis « Démarrer » | « Outils d’administration ». Réalisons ensuite un clic droit sur la racine « [MONDOMAINE] » et sélectionner « Maîtres d’opérations… ».

{gallery}20_move_FSMO/1{/gallery}

 

 

 

 

 

 

 

Nous avons dès lors accès à trois onglets pour chacun des rôles « RID »,  « CPD » et « Infrastructure ». Le champ « Maître d’opérations » indique quel est le contrôleur détenteur du rôle. Le deuxième champ indique tout simplement quel est le serveur sur lequel la console est connectée.

Nous pouvons voir également le bouton « Modifier… » qui permet justement de déplacer le rôle. Il faudra cependant réaliser cette action depuis le serveur devant accueillir le rôle car vous n’avez pas la possibilité de choisir un contrôleur spécifique à partir d’une liste. Le deuxième champ sert justement à identifier clairement vers quel serveur vous vous apprêtez à transférer le rôle.

{gallery}20_move_FSMO/2{/gallery}

 

 

 

 

 

 

 

 

 

Concernant les deux autres maîtres d’opérations, de niveau forêt, il faudra accéder à deux interfaces graphiques différentes.

Pour localiser le maître d’attribution de noms  de domaine, ouvrez la mmc « Domaines et approbations Active Directory » et sélectionnez « Maître d’opérations… » à l’aide d’un clic droit directement sur la racine « Domaine et approbations Active Directory ». La fenêtre « Maître d’opérations » se présente exactement sous la même forme que précédemment et « Modifier… » s’utilise dans les mêmes conditions.

{gallery}20_move_FSMO/3{/gallery}

 

 

 

 

 

 

 

Pour le dernier maître d’opérations Maître de schéma, nous allons passer par la mmc « Schéma Active Directory », toutefois la console n’est pas disponible par défaut et il faut inscrire au préalable sa DLL. Depuis « Executer », lancer la commande « regsvr32 schmmgmt.dll ».

{gallery}20_move_FSMO/4{/gallery}

 

 

 

 

 

Une fois la commande exécutée, lançons « mmc » toujours à partir de « Executer ». Depuis mmc, aller dans « Fichier » | « Ajouter/Supprimer un composant logiciel enfichable… », sélectionner le composant logiciel enfichable « Schéma Active Directory » et cliquer sur « Ajouter ».

{gallery}20_move_FSMO/5{/gallery}

 

 

 

 

 

 

 

Désormais, nous avons le logiciel composant enfichable « Schéma Active Directory » à notre disposition. Double-cliquons sur la racine pour nous connecter sur le serveur local et accéder aux différentes propriétés. Sélectionnons « Maître d’opérations… » à l’aide d’un clic droit pour enfin afficher le nom du contrôleur désigné comme maître de schéma et pour en changer le cas échéant et si nécessaire.

{gallery}20_move_FSMO/6{/gallery}

 

 

 

 

 

 

 

 

 

Localiser et déplacer les maîtres d’opérations par l’invite de commandes

La ligne de commande est plus efficace pour localiser rapidement les maîtres d’opérations. En effet, l’usage de l’interface graphique nécessite l’accès à trois mmc différentes et l’enregistrement d’une DLL pour obtenir ces informations alors qu’une simple commande va nous permettre d’obtenir le même résultat. Nous avons la possibilité d’utiliser par exemple l’outil NETDOMDCDIAG ou NTDSUTIL.

Remarque : Les manipulations réalisées ci-dessous sont faites sur un contrôleur « W2K3 » disposant des 5 rôles pour le domaine « domaine.local ».

« NETDOM » est l’outil fournissant le résultat le plus clair. Il suffit de saisir « netdom query /domain:[MONDOMAINE] fsmo » à partir de l’invite de commandes pour obtenir la liste des maîtres d’opérations et les serveurs associés.

{gallery}20_move_FSMO/6a{/gallery}

 

 

 

 

Pour « DCDIAG » il suffira de lancer depuis l’invite de commandes « dcdiag /test:KnowsOfRoleHolders /v » et d’analyser le résultat au niveau de Démarrage du test : KnowsOfRoleHolders. Pour chaque rôle vous avez le  CN du serveur détenant les rôles après CN=NTDS Settings.

{gallery}20_move_FSMO/7{/gallery}

 

 

 

 

« NTDSUTIL » est un peu plus complexe étant l’outil de maintenance Active Directory alors que DCDIAG n’est, quant à lui, qu’un outil d’analyse. Nous allons commencer par lancer la commande « ntdsutil » depuis l’invite de commandes. Ensuite il faudra saisir séquentiellement les commandes suivantes :

  • roles
  • connection
  • connect to server [MONSERVEUR]
  • quit
  • select operation target
  • list roles for connected server

{gallery}20_move_FSMO/8{/gallery}

 

 

 

 

 

Nous obtenons donc un résultat similaire à celui fourni par DCDIAG grâce à la commande « list roles for connected server ».

 

Remarque : Les manipulations réalisées ci-dessous sont faites sur un contrôleur « W2K8 »  en liaison avec un contrôleur « W2K3 » disposant des 5 rôles pour le domaine « domaine.local ».

Pour déplacer les maîtres d’opérations depuis l’invite de commande, nous n’aurons pas d’autres choix que d’utiliser « NTDSUTIL ». Pour transférer un rôle, il faudra, comme à travers la mmc, se connecter sur le serveur qui l’accueillera et saisir les commandes suivantes :

  • roles
  • connection
  • connect to server [MONSERVEUR]
  • quit
  • transfer PDC
  • transfer RID master
  • transfer infrastructure master
  • transfer naming master
  • transfer schema master

{gallery}20_move_FSMO/9{/gallery}

 

 

 

 

 

A chaque transfert, une demande de confirmation apparaîtra sous la forme d’un popup.

 

 

 

Forcer le déplacement des maîtres d’opérations

On parle en général de saisir les maîtres d’opérations  ou encore plus communément on utilise le terme de seize. Cela correspond à forcer le transfert des rôles sans prévenir le contrôleur détenteur parce qu’il n’est pas possible de le faire autrement. En effet, quand un transfert des maîtres d’opérations est réalisé entre deux contrôleurs, le nouveau contrôleur prévient l’ancien contrôleur qu’il est désormais le maître d’opérations. Lorsqu’on réalise une opération de saisie des rôles, le nouveau contrôleur maître ne préviendra pas son homologue. Ce genre de manipulation est réalisé dans le cadre d’une avarie grave et irréparable d’un maître d’opération, qui n’étant plus joignable, ne peut réaliser le transfert des rôles dans un cadre normal.

ATTENTION !!! Lorsque les maîtres d’opérations sont saisis, il ne faut en aucun cas que le l’ancien contrôleur maître ressurgisse sur le domaine. En effet, n’étant pas au courant de cette saisie de rôles, ceci pourrait entraîner de lourdes conséquences.

Remarque : Les manipulations réalisées ci-dessous sont faites sur un contrôleur « W2K3 » disposant des 5 rôles et un contrôleur « W2K8 » qui va en prendre possession. Le domaine est « domaine.local ».

La saisie est réalisée par le biais de la commande « NTDSUTIL ». Lançons donc la commande « ntdsutil » depuis l’invite de commandes et exécutons les commandes suivantes :

  • roles
  • connection
  • connect to server [MONSERVEUR]
  • quit
  • seize PDC
  • seize RID master
  • seize infrastructure master
  • seize naming master
  • seize schema master

 

A chaque demande de saisie, « NTDSUTIL » essayera toujours dans un premier temps de transférer si possible chaque rôle. En toute logique, cela échoue est génère une erreur car la prise de rôles forcée est liée à l’impossibilité de les transférer simplement donc ne tenez pas compte de l’erreur du type problem 502. Vous aurez également un popup qui apparaîtra pour valider la prise de rôle. Enfin, réalisez une vérification sur la saisie des rôles à l’aide de la commande « list roles for connected server ».

{gallery}20_move_FSMO/10{/gallery}

 

 

 

 

 

 

Une saisie des rôles induit donc qu’un contrôleur n’a pu être rétrogradé. Malgré son absence physique au sein de votre infrastructure, il est cependant toujours présent dans la base Active Directory. Nous aurons donc besoin de le supprimer manuellement de la base Active Directory une fois les rôles transférés. Cette opération s’appelle metadada cleanup et est détaillé dans un article Microsoft à votre disposition ici.

 

 

Conclusion

Nous avons donc vu dans cet article comme localiser et déplacer les maîtres d’opérations qui servira de point de départ à un prochain article sur les règles de placement pour assurer un fonctionnement optimal de votre annuaire Active Directory.

Le catalogue global Active Directory

Sommaire

 

 

Introduction

Un annuaire Active Directory a besoin d’une somme d’éléments essentiels pour assurer sa bonne marche au sein d’un environnement de production. Nous avons les maîtres d’opérations qui assurent des tâches spécifiques et que nous vous détaillons dans l’article  Les maitres d’opérations Active Directory mais également le catalogue global (GC) que nous vous présentons dans cet article. Il est un récapitulatif de la documentation Technet What Is the Global Catalog?.

 

 

Définition d’un catalogue global

Le catalogue global est principalement une base stockant et distribuant une représentation partielle des objets d’une forêt. En effet, chaque contrôleur contient une copie complète de sa partition de domaine mais ne dispose pas des autres partitions de domaine de la forêt. De ce fait, il peut facilement trouver les objets appartenant à son domaine mais ne peut localiser des objets d’un autre domaine sans faire appel au catalogue global. Disposant d’une copie des attributs principaux de tous les objets présents dans la forêt, il rend possible cette recherche.

Chaque attribut du schéma devant être répliqué sur le catalogue global est identifié par Active Directory avec la valeur Partial Attribute Set (PAS). Elle est défini par défaut par Microsoft mais peut être customisée celons les besoins.

Un catalogue global est tout simplement une fonctionnalité à activer sur un contrôleur de domaine. Par défaut le premier contrôleur de domaine d’une forêt est promu en tant que catalogue global.

 

 

Les usages principaux d’un catalogue global

Comme nous le disions dans la section précédente, la fonction principale d’un catalogue global est de permettre la recherche d’objet au niveau de la forêt. Il est toutefois nécessaire de disposer d’un catalogue global dans un unique domaine car de nombreuses applications basent ses recherches à partir de cette fonctionnalité (la fonctionnalité Rechercher sur les stations clientes par exemple). Les requêtes au niveau du catalogue global sont de type LDAP mais sont effectuées cependant sur le port 3268.

Seul le catalogue global permet de résoudre les UPN (User Principal Name) qui offre la possibilité de se connecter sur plusieurs domaines d’une forêt à partir d’un unique point. De plus, un contrôleur de domaine aura besoin également du catalogue global pour obtenir l’énumération des groupes universels (pour en savoir plus sur cette étendue de groupe, rendez-vous sur l’article Les groupes Active Directory) et autoriser l’authentification de cet UPN. Par exemple, si je désire me connecter sur le domaine « canada.corpnet.net » depuis le domaine « france.corpnet.net », je pourrai le faire en utilisant l’UPN « aaugagneur@canada.corpnet.net » pour le compte utilisateur « aaugagneur » et appartenant au groupe universel « utilisateurs corpnet ».

Enfin, certaines applications doivent disposer d’un catalogue global pour pouvoir fonctionner correctement comme Microsoft Exchange et ses listes d’adresses globales.

Nous vous rappelons que si vous désirez plus de détails sur l’usage d’un catalogue global, vous avez la possibilité de vous rendre sur le lien Technet fournis en introduction.

 

 

Localiser un serveur catalogue global

Nous disposons de plusieurs outils pour localiser facilement les catalogues globaux. Bien que nous puissions le faire depuis l’interface graphique, selon le type d’arborescence et le nombre de contrôleurs la tâche peut être fastidieuse. L’idéal sera d’utiliser les outils en ligne de commande « NLTEST » et « NSLOOKUP ».

 

« NLTEST » va nous permettre de localiser les contrôleurs d’un domaine disposant de la fonctionnalité catalogue global. Ouvrons l’invite de commandes et saisir la commande « nltest /dsgetdc:[MONDOMAINE]  /GC ». Dans l’exemple ci-dessous, nous avons un domaine « corpnet.net » constitué d’un seul catalogue global. {gallery}19_AD-GC/1{/gallery}

 

 

 

 

 

 

Vous pouvez également faire la même opération simplement avec « NSLOOKUP » et à la différence de nltest, il va pouvoir lister la totalité des catalogues globaux d’une forêt. En effet chaque catalogue global est enregistré en tant que ressources SRV depuis le service DNS. Ouvrons une invite de commandes et saisir la commande « nslookup gc._msdsc.[MAFORET] ». Dans l’exemple suivant, nous faisons une recherche toujours depuis le domaine « corpnet.net » et deux domaines enfants constitués chacun d’un catalogue global. Nous obtenons bien la liste des trois catalogues globaux (adresses IP).

{gallery}19_AD-GC/2{/gallery}

 

 

 

 

 

 

 

Promouvoir un serveur catalogue global

Le plus simple pour définir un contrôleur de domaine en tant que catalogue global est de passer par l’interface graphique. Pour cela, ouvrons la mmc « Sites et services Active Directory » depuis « Démarrer » | « Outils d’administration ». Naviguez ensuite dans « Sites » | «  [MONSITE] » | « Servers » pour obtenir la liste des contrôleurs appartenant au site. Nous voyons en l’occurrence que la colonne « type de contrôleurs de domaine », indique quel contrôleur de domaine est défini comme catalogue global (dénomination GC). Sélectionner le contrôleur voulu, faire un clic droit sur « NTDS Settings » et choisir « propriétés ». Une fois les propriétés ouvertes, il suffit de cocher simple « catalogue global » depuis l’onglet « Général ».

{gallery}19_AD-GC/3{/gallery}

 

 

 

 

 

 

 

 

 

 

Placement d’un serveur catalogue global

Pour le placement du catalogue global, nous vous invitons à vous rendre en priorité sur la page Technet Planning Global Catalog Server Placement.

CAS 1: si l’annuaire est constitué d’un unique domaine et sur un seul et même site alors le placement devrait se faire sur tous les contrôleurs du domaine.

CAS 2: Si un des contrôleurs est disposé sur un autre site avec une liaison lente alors nous opterons plutôt pour l’activation de la mise en cache des groupes universels au lieu de le configurer comme catalogue global.

ATTENTION !!! Dans un environnement multi-domaines ou si tous les contrôleurs ne sont pas catalogues globaux dans un domaine unique, il ne faut jamais  placer le maître d’opération « Maître d’infrastructure »  et la fonctionnalité catalogue global sur le même contrôleur. En effet, le maître d’infrastructure met à jour des références d’objets à partir des autres domaines de la forêt en interrogeant un catalogue global. Le catalogue global étant toujours à jour et permettant à un contrôleur de disposer d’une copie locale partielle de l’ensemble des données Active Directory, le maître d’infrastructure ne créera pas ou ne mettra plus à jour ses références (objets fantômes).

 

Pour une forêt multi-domaines et multi-sites, nous nous baserons sur l’illustration de Technet disponible ci-dessous. En clair, vous aurez besoin d’un catalogue global par emplacement géographique si :

  • Une application nécessite un catalogue global (Par exemple Exchange)
  • Un nombre d’utilisateurs supérieur à 100
  • Une liaison lente entre le site et le catalogue global
  • Des problèmes de performances ou un fort nombre d’utilisateurs utilisant des profils itinérants

{gallery}19_AD-GC/4{/gallery}

 

 

 

 

 

 

 

 

 

Conclusion

Nous avons donc pu à travers cet article comprendre la notion de catalogue global dans une architecture Active Directory et les opérations lui étant associées. Architecturer et optimiser votre annuaire passera forcément par cette fonctionnalité et les préconisations qui l’entourent.

Les maîtres d’opérations Active Directory

Sommaire

 

 

Introduction

Malgré la profusion d’articles traitant de ce sujet, nous avons décidé de vous le proposer afin de servir de référence pour d’autres articles qui analyseront en profondeur l’utilisation des rôles FSMO. Nous allons reprendre dans les grandes lignes les articles  que nous considérons comme le plus complet sur la question qui sont ceux à votre disposition sur le site de Technet (Operations Master RolesOperations Masters Technical ReferenceAdministering Operations Master Roles). Ces derniers étant en anglais, cette traduction vous apportera sans doute une aide supplémentaire.

Active Directory est une architecture multi-maître c’est-à-dire que chaque contrôleur du domaine est autonome et apte à prendre en compte des modifications et les répliquer sur ses pairs. Dans le cas où un contrôleur serait isolé, il fonctionnera indépendamment  jusqu’à pouvoir de nouveau communiquer avec les autres contrôleurs. Il peut en résulter des conflits qui sont généralement résolus efficacement par Active Directory. Cependant certaines opérations comme les modifications de schéma peuvent entrainer de lourdes conséquences sur le fonctionnement de votre annuaire.  Il a donc fallu introduire une solution de prévention pour éliminer toute possibilité de conflits lors d’une réplication. C’est donc là que certains rôles FSMO prennent tout leur sens (en effet, certains rôles sont là également pour régler des problèmes d’ordre sécuritaire). En prenant l’exemple de la modification du schéma Active Directory, le pilotage est réalisé par un seul et unique contrôleur disposant du rôle « maître de schéma » faisant partie de l’un des cinq rôles FSMO.

Nous allons donc voir ensemble et en détail ces rôles.

 

 

Présentation générale des maîtres d’opérations

FSMO signifie « Flexible Single-Master Operation » cependant cette appellation a disparu officiellement pour être désormais nommé « maîtres d’opérations ». Comme nous le disions en introduction, ils ont chacun un usage bien spécifique au niveau d’un domaine et d’une forêt.

 

Vous avez deux rôles au niveau de la forêt :

  • Schema Master (Maître de Schéma)
  • Domain Naming Master (Maître d’attribution de noms de domaine)

 

Vous avez trois rôles au niveau du domaine :

  • Infrastructure Master (Maître d’infrastructure)
  • RID Master (Maître RID)
  • PDC Emulator (Emulateur de contrôleur de domaine principal)

 

Vous aurez uniquement un maître de schéma et un maître d’attribution de noms de domaine dans une forêt alors que vous aurez un maître d’infrastructure, un maître RID et un Emulateur PDC pour chacun de vos domaines. Par exemple, pour une forêt « corpnet.net » et deux sous-domaines « france.corpnet.net » et « canada.corpnet.net », vous obtiendrez la répartition suivante :

  • Maître de schéma : corpnet.net
  • Maître d’attribution de noms de domaine : corpnet.net
  • Maître d’infrastructure : corpnet.net
  • Maître d’infrastructure : france.corpnet.net
  • Maître d’infrastructure : canada.corpnet.net
  • Maître RID : corpnet.net
  • Maître RID : france.corpnet.net
  • Maître RID : canada.corpnet.net
  • Emulateur PDC : corpnet.net
  • Emulateur PDC : france.corpnet.net
  • Emulateur PDC : canada.corpnet.net

 

Vous aurez donc deux rôles de niveau forêt par forêt et trois rôles au niveau domaine par domaine. Dans l’exemple ci-dessus, comme nous avons trois domaines dans une forêt, nous avons donc 11 rôles FSMO sur l’ensemble de la forêt. Nous constatons également que les rôles de niveau forêt sont placés sur le domaine racine « corpnet.net » cependant rien ne nous empêcherait de les placer sur les domaines « france.corpnet.net » ou « canada.corpnet.net ».

Lors de l’installation du premier contrôleur de domaine « corpnet.net », les 5 rôles ont été attribués à ce contrôleur. Lors de la création des deux domaines enfant, chacun des contrôleurs se sont vu attribuer les 3 rôles de niveau domaine.

 

 

Détail de chaque maître d’opérations

Nous allons désormais détailler chacun des rôles et leur fonction au sein de l’annuaire.

Maître de schéma : Le contrôleur défini comme maître de schéma est le seul à avoir un accès en écriture sur le schéma Active Directory pour l’ensemble de la forêt. Une fois les modifications effectuées, il les réplique sur l’ensemble de la forêt.

Maître d’attribution de noms de domaine : Ce rôle permet principalement de gérer  l’ajout et la suppression d’un domaine dans une forêt. Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et depuis des domaines externes.

Maître d’infrastructure : Sa tâche est de maintenir à jour des références d’objet inter-domaines. Concrètement, si vous prenez le cas où un compte utilisateur d’un domaine A est ajouté à un groupe d’un domaine B, le maître d’Infrastructure sera responsable de cette référence pour ensuite la répliquer sur l’ensemble des contrôleurs de son domaine (par exemple une mise à jour du Display Name de l’utilisateur sur le domaine A sera répercutée par le maître d’infrastructure sur toutes les références présentes sur le domaine B). Ces références d’objet sont appelées également objets fantômes et sont constituées d’un Dn (Distinguished name), d’un GUID (Global Unique Identifier) et d’un SID (Security Identifier). Pour plus d’information sur les objets fantômes allez voir le KB Microsoft Phantoms, tombstones and the infrastructure master.

Maître RID : Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur…), il assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque contrôleur qui en fait la demande.

Emulateur PDC : Comme son nom l’indique, l’usage premier de l’émulateur de contrôleur de domaine principal est d’être considéré comme le contrôleur de domaine principal par les serveurs Windows NT 4.0 encore présent sur votre réseau. Il assure donc une interopérabilité avec les anciennes générations de serveurs mais également clients (antérieurs à 2000 et ne disposant pas initialement du client Active Directory). A noter que PDC (Primary Domain Controller) et BDC (Backup Domain Controller) sont des notions introduites avec Windows NT 4.0 qui n’existent plus désormais dans l’architecture Active Directory. L’émulateur PDC est également un partenaire de réplication privilégié pour tout contrôleur du domaine qui reçoit une demande de modification de mot de passe. De plus, lorsque se produit une erreur d’authentification, l’émulateur PDC est contacté automatiquement. Cela en fait donc un rôle crucial et ayant le plus d’impact en termes de performance sur un domaine. Enfin, il est par défaut le serveur de temps principal de votre domaine.

 

 

Récapitulatif

Rôle

Description

Niveau

Maître de schéma

  • Mise à jour du schéma

Forêt

Maître d’attribution de noms de domaine

  • Ajout/Suppression de domaine
  • Renommage de domaine (à partir de Windows 2003)

Forêt

Maître d’infrastructure

  • Mise à jour et réplication des références d’objet inter-domaines

Domaine

Maître RID

  • Distribution des plages RID

Domaine

Emulateur PDC

  • Prise en charge des communications avec clients/serveurs de type NT (antérieur à 2000)
  • Réplication des modifications des mots de passe
  • Gestion des erreurs d’authentification
  • Serveur de temps par défaut

Domaine

 

 

Conclusion

Nous avons donc vu dans cet article la définition de chacun des maîtres d’opérations et leur utilité au sein d’un annuaire Active Directory.

Un autre élément composant l’annuaire Microsoft et qui nécessite approfondissement est le catalogue global. Nous vous invitons à découvrir également cette fonctionnalité depuis l’article Le catalogue global Active Directory.

Si vous désirez savoir quels sont les maîtres d’opérations de votre annuaire ou comment les déplacer, nous vous proposons également l’article Localiser et déplacer les maîtres d’opérations Active Directory.

Gérer la charge de vos contrôleurs de domaine

Sommaire

 

 

Introduction

Dans cet article nous allons voir comment assurer la priorité d’un contrôleur de domaine pour les ouvertures de sessions clients.

Afin de pouvoir étayer nos propos, nous partons d’une architecture composée d’un contrôleur de domaine sous 2003 R2 disposant des rôles FSMO et portant le nom de W2K3, d’un contrôleur de domaine additionnel sous 2008 R2 nommé W2K8 et d’un poste client sous Windows XP. Le domaine est « domaine.local ».

 

 

Comment est localisé un contrôleur de domaine?

Cette section est rédigée à partir des documents Microsoft « How Domain Controllers Are Located in Windows » et « Domain Controller Locator ».  Nous vous engageons à les consulter.

Pour commencer, les clients utilisent deux types de localisation : DNS ou NetBIOS. Bien entendu, NetBIOS est toujours présent pour assurer une compatibilité descendante aux versions antérieures à Windows 2000. Nous ne traiterons pas ici de la recherche basée sur NetBIOS.

Le client débute une communication RPC via le service Netlogon pour localiser un contrôleur à sa disposition.  Ce dernier recueille un ensemble d’information pour arriver à ses fins grâce à la fonction implémentée DsGetDcName. Nous pouvons simuler cette requête grâce à l’outil « NLTEST » (disponible depuis le pack support tools pour un 2003 ou intégrer avec le rôle AD DS de 2008). Dans l’exemple ci-dessous, nous lançons la commande « nltest /dsgetdc:[MONDOMAINE] /force » afin de vérifier les informations retournées. Nous constatons que la commande retourne en alternance les contrôleurs disponibles.

{gallery}18_priorize_DC/1{/gallery}

 

 

 

 

 

 

Un autre paramètre de « NLTEST » (/DSGETSITE), nous permet également de connaitre le site d’appartenance du poste. Dans notre exemple, nous ne disposons que d’un seul site Active Directory cependant ceci pourrait vous être utile si nécessaire. Nous lançons donc la commande « nltest /dsgetsite » pour connaître le nom du site.

{gallery}18_priorize_DC/2{/gallery}

 

 

 

 

 

 

Le moyen de localisation préféré pour Active Directory est le service DNS ce qui en fait d’ailleurs un composant crucial pour l’annuaire. DNS dispose des enregistrements de ressources (emplacements de services SRV)  pour localiser un contrôleur de domaine. Ces enregistrements sont sous la forme « _service._protocol._sites.dc._msdcs.DnsDomainName » ou « _service._protocol.dc.msdsc.DnSDomainName ». Ils sont  accessibles depuis « Démarrer » | « Outils d’administration » | « Gestionnaire DNS ». Le client contactera en priorité les enregistrements concernant son site sinon il attaquera les enregistrements du domaine dans son ensemble. Les clients cherchent à contacter en premier le service LDAP, l’enregistrement utilisé sera  donc  « _ldap ».

{gallery}18_priorize_DC/3{/gallery}

 

 

 

 

 

 

 

 

Le service Netlogon envoie donc à partir des informations récupérées un datagramme LDAP sur le réseau. L’ensemble des serveurs disponibles répondent à cette requête pour signaler leur présence mais seul le plus rapide sera sélectionné par Netlogon. En conclusion, selon la charge des contrôleurs et la qualité du réseau au moment du déclenchement du processus  Netlogon, l’interlocuteur du client pourra être différent. Il n’y a donc pas de priorité préétablie. De plus, la fonctionnalité DNS Round Robin (tourniquet) assure que les contrôleurs seront interrogés chacun leur tour par un même client. Elle assure une répartition de charge. Cela explique, entre autres,  pourquoi vous avez des enregistrements DNS identiques pointant sur différents serveurs.  Cette option est activée par défaut sur un contrôleur de domaine. Pour le vérifier, faire un clic droit sur votre serveur depuis « Gestionnaire DNS », choisir « Propriétés » et se rendre dans l’onglet « Avancé ».

{gallery}18_priorize_DC/10{/gallery}

 

 

 

 

 

 

 

 

 

 

Comment gérer les priorités?

Maintenant que nous avons vu la manière dont est localisé un contrôleur de domaine par un client, il est facile de comprendre que la gestion des priorités passera par la gestion de vos enregistrements DNS.

Nous avons souligné que les enregistrements utilisés par un client sont localisés à deux endroits:

« _service._protocol._sites.dc._msdcs.DnsDomainName »  pour les clients d’un même site et en ayant connaissance. « _service._protocol.dc.msdsc.DnSDomainName » pour les clients du domaine n’ayant soit plus de contrôleur à disposition sur leur site où n’ayant pas connaissance de leur site.

Nous avons également vu que Netlogon recherche exclusivement le service « _ldap ».

Désormais et en vue de ces éléments, nous allons donc nous focaliser sur ces enregistrements. En effet, il y a autant d’enregistrement de ressource SRV « _ldap » que de contrôleur de domaine et, comme nous l’expliquons plus haut, c’est la technologie Round Robin qui le permet. Nous allons accéder aux propriétés d’un de ces enregistrements et voir de quoi il est composé. Il faut donc se rendre dans « Zones de recherche directes » | « _msdsc.DnsDomainName » | « dc » | « _sites » | « [SITE] » | « _tcp », faire un clic droit sur un enregistrement de type « _ldap » et sélectionner « propriétés ».

{gallery}18_priorize_DC/4{/gallery}

 

 

 

 

 

 

 

 

 

Nous découvrons deux champs sur lesquels nous allons nous pencher. Il s’agit de « Priorité » et « Poids ». Par défaut ils ont tous les deux les valeurs respectives  « 0 » et « 100 ». C’est ces deux valeurs qui vont nous permettre de privilégier le serveur LDAP sur notre site Active Directory.

Priorité : son nom est explicite. Elle va permettre de donner l’exclusivité à un de vos contrôleurs. Cela veut dire que le serveur disposant de la valeur la plus basse sera toujours contacté en premier. Il n’y aura pas de répartition de charge par contre les autres serveurs seront utilisés en cas d’indisponibilité. La valeur peut-être comprise en 0 et 65535.

Poids : elle est un peu plus complexe. Elle va permettre d’affiner la répartition de charge par défaut qui est réalisée par la fonctionnalité Round Robin. Le poid d’un enregistrement est proportionnel à la somme des poids total des enregistrements similaires. Par défaut, la valeur du poids pour chacun des enregistrements est de 100. Si vous disposez de deux serveurs, la somme total des poids sera de 200. Les  deux serveurs seront donc contactés chacun leur tour (1 fois sur 2). Si vous avez 10 contrôleurs et que nous restons sur la valeur par défaut, alors chaque contrôleur devrait être contacté en moyenne 1 fois sur 10. Si nous voulons réduire par deux la charge d’un contrôleur par rapports à ses pairs, il nous suffira alors de passer cette valeur à 50. Il traitera deux fois moins de demande que les autres. La valeur peut-être comprise en 0 et 65535.

 

 

La gestion des priorités par l’exemple

Dans cet article, le serveur W2K3 est celui qui détient les 5 rôles FSMO. C’est donc lui qui est susceptible d’assumer la plus grande charge dans notre domaine Active Directory. Nous allons donc faire en sorte que son service LDAP ne soit plus contacter par les clients sauf en cas d’avarie du second contrôleur W2K8.

Nous allons déjà vérifier de base quel est le serveur qui gère l’ouverture sur une station de travail à l’aide de la commande « echo %logonserver% » qui nous donnera le nom du serveur sur lequel nous avons ouvert une session. Dans l’exemple ci-dessous, nous voyons que suite au redémarrage d’un poste client, le serveur d’ouverture de session change et il y a une alternance.

{gallery}18_priorize_DC/5{/gallery}

 

 

 

 

 

 

Maintenant, nous allons augmenter la valeur de priorité du serveur W2K3 afin qu’il ne soit plus sélectionner par le client. Cependant, nous n’allons pas réaliser l’opération depuis le gestionnaire DNS en modifiant directement l’enregistrement. En effet, l’enregistrement _ldap est créé  automatiquement par le service netlogon lorsqu’il démarre. Si vous modifiez l’enregistrement _ldap depuis le gestionnaire, lors du redémarrage du service netlogon, vous vous retrouverez avec un doublon comme dans l’exemple ci-dessous.

{gallery}18_priorize_DC/7{/gallery}

 

 

 

 

 

 

 

 

Pour mettre à jour la priorité du serveur et que la modification soit prise en compte de façon permanente, il va falloir passer par la clé de registre LdapSrvPriority de type DWORD depuis HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters que nous allons créer.

{gallery}18_priorize_DC/8{/gallery}

 

 

 

 

 

 

 

 

Afin de voir si la clé de registre a bien été prise en compte, redémarrer le service netlogon à l’aide de la commande  « NET STOP NETLOGON » et « NET START NETLOGON ». Vérifier enfin la mise à jour des enregistrements depuis les deux zones.

{gallery}18_priorize_DC/9{/gallery}

 

 

 

 

 

 

 

 

Les enregistrements _ldap sont modifiés mais également les enregistrements _kerberos (service pour la gestion des authentifications). Tous vos postes clients se connecteront  désormais sur le serveur ayant la plus faible valeur de priorité. Vous pouvez le vérifier bien entendu grâce à la variable %logonserver%.

Vous pourrez enfin augmenter la sollicitation de certains contrôleurs en rapport à d’autres grâce à la notion de poids en passant cette fois-ci par la valeur de registre LdapSrvWeight.

 

 

Conclusion

Vous êtes désormais prêt à gérer au mieux la charge de vos contrôleurs de domaine en fonction des tâches à réaliser. Ceci peut être intéressant si vous désirez gagner en performance sur des contrôleurs disposant des rôles FSMO et en particulier le PDC emulator qui nécessite une bonne réactivité.

Nous vous conseillons aussi de prendre connaissance de l’article technet « How DNS Support for Active Directory Works » afin de comprendre au mieux l’interaction DNS/AD.

Intégrer un contrôleur de domaine secondaire

Sommaire

 

 

Introduction

Nous allons voir à travers cet article l’intégration d’un contrôleur supplémentaire au sein d’un domaine Active Directory. On parle en général d’un contrôleur secondaire cependant ceci est une fausse appellation car une architecture Active Directory est multi-maître.

Dans le cadre de cet article, nous allons donc voir comment intégrer un contrôleur supplémentaire en version 2008 R2 dans un domaine existant géré par un 2003 R2. A noter cependant que cette procédure est applicable pour toutes les versions Windows Server.

La réalisation est rapide et simple avec une implication limitée dans un milieu de productif. Il faut toutefois veiller à disposer de sauvegardes fiables et en particulier concernant votre Active Directory.

 

 

Vérifier les niveaux fonctionnels du domaine et de la forêt

Nous allons vérifier le niveau fonctionnel du domaine et l’augmenter si nécessaire. Nous ferons de même avec le niveau fonctionnel de la forêt. En vue de l’environnement dans lequel se réalise cet article, il faudra veiller à ce que les niveaux fonctionnels soient compatibles avec l’intégration d’un serveur en 2008 R2. Pour obtenir des informations complémentaires sur les niveaux fonctionnels Active Directory et pour connaitre sur quel niveau vous devez vous placer dans votre environnement, nous vous invitons à vous rendre ici.

Il faut au moins être en mode natif 2000. Si votre serveur 2003 est le seul contrôleur de domaine de votre infrastructure vous pouvez opter pour le niveau fonctionnel 2003. Ouvrez la mmc « Domaines et approbations Active Directory » depuis « Démarrer » | « Outils d’administration ». Faire un clic droit sur [MONDOMAINE] et choisir « Augmenter le niveau fonctionnel du domaine… ».

Dans notre exemple, le niveau fonctionnel est en Windows 2000 mixte et il faut donc l’augmenter en Windows 2000 natif ou en Windows 2003 pour permettre l’intégration du serveur 2008 R2. Nous choisissons le plus haut niveau fonctionnel car nous ne disposons pas de serveur en 2000.

{gallery}17_ReplicaDC/1{/gallery}

 

 

 

 

 

 

 

Nous allons vérifier ensuite le niveau fonctionnel de la forêt en cliquant droit sur la racine « Domaines et approbations Active Directory » et sélectionner « Augmenter le niveau fonctionnel de la forêt… ». Le niveau actuel est Windows 2000. Nous l’augmentons au niveau fonctionnel « Windows Server 2003 ».

{gallery}17_ReplicaDC/2{/gallery}

 

 

 

 

 

 

 

 

 

Préparation de l’annuaire

Il faut maintenant préparer le domaine et la forêt de l’annuaire existant pour pouvoir intégrer le nouveau contrôleur de domaine en version 2008 R2. La préparation est une simple mise à jour des schémas Active Directory entrainant la création de nouveaux objets et attributs.

Pour cela, nous allons utiliser l’outil ADPREP fourni sur le support d’installation du Windows 2008 R2. Vous le trouverez sur « D:\support\adprep » (D : est la lettre du lecteur DVD). Dans ce répertoire vous avez ADPREP.EXE et ADPREP32.EXE, selon le type d’architecture de votre Windows 2003 R2 (s’il est en 32 bits, cas le plus fréquent, nous utiliserons ADPREP32).

{gallery}17_ReplicaDC/3{/gallery}

 

 

 

 

 

 

 

Lancez donc un invite de commande  et rendez-vous dans le répertoire « d:\support\adprep » et exécutez la commande « adprep32 /forestprep » pour la préparation de la forêt. Une fois l’opération terminée nous allons faire de même avec la commande « adprep32 /domainprep » pour la préparation du domaine.

{gallery}17_ReplicaDC/4{/gallery}

 

 

 

 

 

 

Sur le serveur 2008, nous allons en premier lieu configurer les paramètres TCP/IP  afin qu’il puisse en tout logique communiquer avec le contrôleur de domaine. Nous allons surtout veiller à ce que ce dernier soit bien référencer en tant que serveur DNS primaire. Lancer donc la commande « ncpa.cpl » depuis « Démarrer » | « Exécuter » pour ouvrir « connexion réseau ». Accéder ensuite aux propriétés de la carte réseau et vérifier en particulier que le DNS primaire est l’adresse IP du contrôleur de domaine existant ( le serveur Windows 2003 est en 192.168.102.150 dans l’exemple ci-dessous).

{gallery}17_ReplicaDC/5{/gallery}

 

 

 

 

 

 

 

 

 

 

Installation du contrôleur supplémentaire

Nous allons maintenant installer le rôle « services de domaine Active Directory » ce qui nous permettra de disposer de l’outil DCDIAG. Ouvrez « Gestionnaire de serveur » et choisissez « Ajouter des rôles ». Nous sélectionnons « Services de domaine Active Directory », l’assistant signale qu’il faudra installer des fonctionnalités requises (en l’occurrence le .NET Framework 3.5). Nous faisons « Suivant » et ensuite « Installer ».

{gallery}17_ReplicaDC/6{/gallery}

 

 

 

 

 

 

 

 

Une fois le rôle installé, nous allons tester l’incorporation du serveur 2008 en tant que contrôleur de domaine supplémentaire à l’aide de la commande « dcdiag /test:dcpromo /dnsdomain:domaine.local /replicadc » (domaine.local est le domaine DNS géré par notre annuaire Active Directory) de puis l’invite de commande afin de vérifier qu’il n’y a pas d’obstacle à la promotion de ce serveur.

{gallery}17_ReplicaDC/7{/gallery}

 

 

 

 

 

 

 

Exécutons désormais « dcpromo » à partir de « Exécuter ». Nous laissons par défaut « Utiliser l’installation en mode avancé ». Il faut ensuite choisir d’intégrer le nouveau contrôleur dans une forêt existante. Nous indiquons à l’étape suivante le nom du domaine Active Directory et précisons le compte disposant des privilèges nécessaires pour réaliser cette installation (nous avons choisi le compte administrateur du domaine).

{gallery}17_ReplicaDC/8{/gallery}

 

 

 

 

 

 

 

 

 

 

L’assistant nous signale que n’ayant pas préparé l’annuaire avec l’option « /rodcprep », il ne nous sera pas possible d’intégrer un contrôleur en lecture seule (nouvelle fonctionnalité disponible depuis les versions 2008).

{gallery}17_ReplicaDC/9{/gallery}

 

 

 

 

 

 

Nous spécifions le site sur lequel sera hébergé le contrôleur de domaine. Nous sélectionnons ensuite les options « Serveur DNS » et « Catalogue global ». Un autre avertissement apparaît concernant un problème de délégation avec la zone parente (.local) ce qui est logique car la zone parente .local est fictive. La zone DNS se répliquera sans problème dès lors qu’elle est intégrée à Active Directory.

{gallery}17_ReplicaDC/10{/gallery}

 

 

 

 

 

 

 

 

 

 

L’assistant vous laisse la possibilité de choisir la provenance des données Active Directory existantes à répliquer. Soit directement par le biais du réseau en contactant le contrôleur de domaine existant, soit à partir d’une sauvegarde. Ceci peut être intéressant lorsque vous devrez ajouter un contrôleur supplémentaire à travers une liaison lente. Nous choisissons de le faire à partir du réseau.

{gallery}17_ReplicaDC/11{/gallery}

 

 

 

 

 

 

 

 

 

Suite à la sélection précédente, nous devons choisir le contrôleur à contacter. Ensuite nous définissons la location des fichiers liés à l’annuaire (il serait judicieux de suivre les recommandations de Microsoft et de séparer la base de données des fichiers journaux). A l’étape suivante, vous allez devoir rentrer un mot de passe de restauration. Celui-ci sera utiliser en cas de nécessité pour pouvoir démarrer le serveur en mode restauration Active Directory. Enfin, il vous est possible d’exporter cette configuration sous forme de fichier de réponses qui pourrait être utilisé pour d’autres promotion Active Directory (pour la promotion d’un RODC par exemple où il faut obligatoirement un fichier de réponses).

{gallery}17_ReplicaDC/12{/gallery}

 

 

 

 

 

 

 

 

 

Une fois redémarré, le serveur est désormais promu en tant que contrôleur de domaine.

 

 

Vérification post-installation

Lancer la commande « repadmin /syncall » depuis le 2008 pour forcer une réplication  et « repadmin /showrepl » pour vérifier si la réplication fonctionne correctement.

{gallery}17_ReplicaDC/13{/gallery}

 

 

 

 

 

 

 

 

Vous pouvez également vérifier que les informations DNS ont bien été répliquées depuis le gestionnaire DNS sur le serveur 2008.

{gallery}17_ReplicaDC/14{/gallery}

 

 

 

 

 

 

 

Vous avez aussi la possibilité d’utiliser la commande DCDIAG depuis l’invite de commande pour vérifier l’état santé général du contrôleur ou utiliser l’option /test pour effectuer des tests spécifiques (dcdiag /? fera apparaitre tous les tests à disposition).

 

Enfin, vous disposez également d’un outil graphique qui a l’avantage d’être très explicite sur le bon fonctionnement de votre contrôleur qui est replmon. Malheureusement, cet outil a disparu avec les versions 2008 donc si vous voulez l’utiliser, il faudra passer par le 2003. L’outil est fourni avec les supports tools (téléchargeable ici). Une fois ce dernier installé, il faut se rendre dans le répertoire « C:\Program Files\Support Tools » et lancer « replmon.exe ». Il vous suffira d’ajouter le nouveau contrôleur de domaine dans le monitoring en cliquant droit sur « Monitored Servers » et en sélectionnant « Add Monitored Server… ». Ajouter ensuite le serveur soit explicitement soit à l’aide d’une recherche depuis l’annuaire. Une fois le serveur ajouté, vous obtenez toutes une liste d’actions pour vérifier l’état du contrôleur de domaine. Nous pouvons voir, par exemple, depuis l’onglet « Server Flags » accessible depuis « Propriétés », la liste des services relatifs à Active Directory et leur état.

{gallery}17_ReplicaDC/15{/gallery}

 

 

 

 

 

 

 

 

Pensez également à modifier les paramètres de la carte réseau du 2008 en ajoutant en DNS primaire la boucle local (127.0.0.1) et en DNS secondaire le serveur 2003. Il serait également intéressant de rajouter le 2008 en DNS secondaire sur le 2003 ainsi que sur l’ensemble de votre parc.

 

 

Conclusion

Vous avez donc tout en main pour pouvoir intégrer des contrôleurs supplémentaires et vérifier que tout est opérationnel. Nous soulignons cependant que l’architecture Active Directory étant multi-maîtres aucun contrôleur sera réellement prioritaire par rapport à ses pairs dans ce type de configuration hormis pour des opérations spécifiques.

Maintenant que vous disposez de deux contrôleurs de domaine, vous serez sans doute intéresser par l’article Gérer la charge de vos contrôleurs de domaine.

Restauration des sauvegardes Windows Server sur 2008 R2

Sommaire

 

Continuer la lecture de « Restauration des sauvegardes Windows Server sur 2008 R2 »