Archives de la catégorie ‘AD Toolbox’

[Active Directory – Tool of the Week] 1# : Introduction à l’outil NTDSUtil.exe

Publié: 27/06/2018 dans Active Directory, AD Toolbox
Tags:, , , , , , ,
2
Introduction 

« NtDSutil » est un outil de maintenance d’Active Directory et permet entre autres de :

  • Nettoyer l’AD et les métadonnées : si un de vos contrôleurs de domaine devait tomber en panne ou que vous ayez un domaine orphelin, vous pouvez utiliser « NTDSUtil » pour nettoyer les métadonnées et supprimer les liens de réplication obsolète. A partir de Windows 2008, les métadonnées sont nettoyées lors de la suppression du compte ordinateur dans « utilisateurs et ordinateurs Active Directory » ou du « NTDSSettings » dans la console « Sites et Services Active Directory ».
  • Déplacer vérifier ou défragmenter la base de l’annuaire (ntds.dit) : vous pouvez déplacer la base de données de l’annuaire sur un autre volume. La défragmentation n’est pas une opération que vous devez prévoir fréquemment si vous êtes dans une petite structure.

Note importante : Le déplacement avec « NTDSUtil » ne modifie pas le dossier « SYSVOL » contenant les stratégies de groupes, mais uniquement les fichiers de l’annuaire. La méthode recommandée pour déplacer « SYSVOL » est de rétrograder puis de réinstaller les services de domaine, même si vous trouverez facilement des articles qui expliquent comment effectuer un déplacement manuel.

  • Transférer les rôles de maître d’opération (FSMO)

 

HowTo : Utiliser NTDSUtil

Nous allons voir au travers de quelques exemples, l’utilisation de NTDSUtil, comme par exemple déplacer les fichiers de l’annuaire. Pour ce type d’opération il est nécessaire que les services de l’annuaire soient arrêtés.

Pour arrêter les services, utilisez la console « services.msc » et recherchez le service « Service de domaine Active Directory ».

Faites un clic droit sur le nom du service, puis « Arrêter ».

La console vous propose d’arrêter automatiquement les services dépendants.

Pour déplacer la base de données de l’annuaire, ouvrez une « invite de commandes » en tant qu’administrateur sur le contrôleur de domaine et utilisez les commandes :

NTDSUtil

Activate instance NTDS

Files

Move db to D:\nouveau_dossier

Après le déplacement du fichier « NTDS.dit », vous pouvez déplacer les journaux de la base avec la commande :

Move logs to D:\nouveau_dossier

Pour vérifier l’intégrité de la base de données vous pouvez utiliser les commandes « checksum » et « integrity ».

Pour quitter « NTDSutil , saississez « quit » jusqu’à revenir au prompt.

Pour déplacer les rôles de maître d’opération (FSMO) avec « NtDsUtil », vous pouvez utiliser les commandes suivantes :

NTDSUtil

Roles

connections

connect to server “monserveur”

q

Ensuite vous pouvez transférer un ou plusieurs rôles avec les commandes :

transfer pdc

transfer RID master

Transfer infrastructure master

Transfer schema master

Transfer naming master

Si l’ancien contrôleur de domaine disposant du rôle n’est plus disponible, vous devez remplacer « transfer » par « seize » pour forcer la prise de rôle.

Une confirmation vous est demandée, cliquez sur « Oui ».

 

Cet article vous a plu ?

Il s’agit d’un extrait de la Seconde Edition du livre « Active Directory 2016 – Déploiement et Administration en Entreprise ».

Disponible sur BecomeITExpert.com, cliquez sur l’image ci-dessous pour en savoir plus :

[Active Directory Toolbox] Les trois « Sysinternals Tools AD » que vous devez connaître !

Publié: 21/01/2018 dans Active Directory, AD Toolbox, Sysinternals Tools
Tags:, , , , , , , , , , ,
2

Introduction : Sysinternals Tools

Sysinternals Tools est une suite d’outils regroupant plusieurs dizaines de « Free Utilities » proposés gratuitement par Microsoft.

Ces outils vous permettent de gérer, diagnostiquer et troubeshooter plusieurs composants de Windows (Client & Server), à savoir : Disk/Volume, Active Directory, Hyper-V, Prof/Perfs…

Au moment de la rédaction de ce post, la suite Sysinternals est composée des outils listés ci-dessous (76 tools au total) :

AdExplorer | AdInsight | AdRestore | | Autologon | Autoruns | BgInfo | BlueScreen | CacheSet | | ClockRes | Contig | Coreinfo | Ctrl2Cap | DebugView | | Desktops | Disk2vhd | DiskExt | DiskMon | DiskView | | Disk Usage (DU) | EFSDump | FileMon | FindLinks | Handle | | Hex2dec | Junction | LDMDump | ListDLLs | LiveKd | | LoadOrder | LogonSessions | MoveFile | NewSid | NotMyFault | | NTFSInfo | PageDefrag | PendMoves | PipeList | PortMon | | ProcDump | Process Explorer | ProcFeatures | Process Monitor | PsExec | | PsFile | PsGetSid | PsInfo | PsKill | PsList | | PsLoggedOn | PsLogList | PsPasswd | PsPing | PsService | | PsShutdown | PsSuspend | PsTools | RAMMap | RegDelNull | | RegHide | RegJump | RegMon | Rootkit Revealer | Registry Usage (RU) | | SDelete | ShareEnum | ShellRunas | Sigcheck | Streams | | Strings | Sync | Sysmon | TCPView | VMMap | | VolumeID | WhoIs | WinObj | ZoomIt

Télécharger les Sysinternals Tools 

Commencez par télécharger le package complet « Sysinternals » pour pouvoir réaliser les instructions techniques détaillées dans la section suivante.

 

Sysinternals Tools pour Active Directory

La suite Sysinternals comprend trois outils dédiés à la gestion et troubleshooting d’Active Directory.

Ces outils sont :

AdExplorer

AdInsight

AdRestore

Je vous présenterai donc à travers cet article ces trois outils et dans quel contexte vous pouvez l’utilisez.

#1. AdExplorer

AdExplorer (ou Active Directory Explorer) est un outil très puissant qui vous permet d’éditer votre base Active Directory et visualiser/modifier son contenu (e.g : Attributs).

Active Directory Explorer présente des fonctionnalités similaires que celles disponibles sur l’éditeur ADSIEdit (outil natif), fourni par défaut avec le rôle Windows Server ADDS (Active Directory Domain Services), en revanche il fourni plus de fonctionnalités et reste plus simple et facile à utiliser.

Vous pouvez utiliser AdExplorer pour naviguer et parcourir votre base de données AD (NTDS.dit database), visualiser les attributs d’objets AD de manière simple et rapide sans avoir besoin d’éditer les propriétés de l’objet et ouvrir la boite de dialogue « Propriétés ». Il peut également être utilisé pour :

Editer les permissions d’objets AD

Définir vos emplacements « Favoris »

Exécuter des recherches pertinentes et « sophistiquées » mais aussi les enregistrer pour une utilisation utérieure.

Réaliser des « Snapshots » de la base Active Directory pour une utilisation (visualisation) Offline.

Enfin, AdExplorer ouvre (automatiquement) tous les « Naming contexts » Active Directory détectés/trouvés, ce qui vous évite de vous connecter séparément à chaque contexte de nommage : « Configuration », « Schema », …Etc.

Tips #1 : AdExplorer vous permet d’afficher plusieurs domaines/sous-domaines AD ainsi que tout Snapshot AD enregistré sur la même console.

Dans l’exemple suivant, je vais me connecter à ma base AD en saisissant simplement le nom DNS de mon Root domain (HKRoot.lan) :

Dès que la connexion est établie, les informations suivantes sont collectées et affichées sur le volet gauche :

Maintenant, juste double-click and enjoy :).

Tips #2 : la boite de dialogue « Connect to Active Directory » s’affiche automatiquement lors du lancement d’AdExplorer, vous pouvez « bypasser » cette boite de dialogue en saisissant AdExplorer –noconnectprompt depuis l’Invite de commande (CMD.exe) :

Note importante : Vous pouvez utiliser l’outil AdExplorer avec différents types de Servies d’Annuaire, tels que Active Directory Domain Services (DS), Active Directory Lightweight Directory Services (LDS) et Active Directory Application Mode (ADAM).

#2. AdInsight

AdInsight est outil de monitoring LDAP « en temps réel » qui vous permet de surveiller et tracer tous les appels/requêtes LDAP effectuées par les applications clientes et API sur l’annuaire Active Directory.

C’est un tool très pratique que vous pouvez utiliser pour diagnostiquer et troubleshooter les problèmes de connexions/communication liées Apps clientes s’appuyant sur AD.

AdInsight utilise une technique d’injection de DLL pour intercepter les appels/requêtes effectuées par les applications dans la librairie Wldap32.dll, qui est la Librairie Windows Standard qui implémente toutes les fonctionnalités LDAP bas-niveau (Low-Level).

Capture de données à l’aide d’AdInsights, comment ça marche ?

Par défaut, l’outil AdInsight démarre en mode « Capture – On », si toutefois, si vous souhaite former/démarrer la « manuelle », utilisez le raccourci clavier (Ctrl+E) ou cliquez sur la première icone (à gauche) disponible sur la barre d’outil d’AdInsight :

#3. AdRestore

AdRestore est un outil en ligne de commande (CLI) qui vous permet de lister tous les objets AD supprimés et vous offre la possibilité de les restaurer sans passer par l’outil/snap-in ADAC (Active Directory Administrative Center).

Comment ça marche ?

Faites un Extract du fichier AdRestore.zip et placez le dossier AdRestore dans C:\, exécutez ensuite la commande suivante pour lister/visualiser tous les objets AD supprimés (Deleted Objects) :

C:\AdRestore\AdRestore.exe

Dans l’exemple suivant, deux objets AD (User) se trouvent dans la Corbeille AD (hk_admin_user & hk_std_user) :

Pour restaurer vos objets AD supprimés, saisissez la commande suivante :

C:\AdRestore\AdRestore.exe -R

Vous êtes invités à confirmer chaque restauration d’objet en saisissant Y (comme Yes) :

Notez que les objets AD restaurés sont désactivés l’opération de restauration, vous devez donc les réactiver pour les rendre « Actifs » à nouveau :