Articles Tagués ‘Active Directory 2012 R2’

AD Guys, Hello again 🙂

Si vous souhaitez connaître la date d’expiration des password de vos comptes users AD, eh bien pouvez simplement exécuter le code PS suivant :

Requirements
  • Lancez Windows PowerShell en tant qu’Admin
  • Exécutez les lignes de codes ci-dessous depuis un DC (not recommended) ou une machine d’administration ayant les outils RSAT installés et notamment le module PowerShell « ActiveDirectory » (recommended :)).

 

HowTo : connaitre la date d’expiration des mots de passes de vos comptes users AD

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties « DisplayName », « msDS-UserPasswordExpiryTimeComputed » | Select-Object -Property « Displayname »,@{Name= »ExpiryDate »;Expression={[datetime]::FromFileTime($_. »msDS-UserPasswordExpiryTimeComputed »)}}

Tip : si vous souhaitez trier les informations retournées par « Date la plus récente », exécutez la commande suivante :

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties « DisplayName », « msDS-UserPasswordExpiryTimeComputed » | Select-Object -Property « Displayname »,@{Name= »ExpiryDate »;Expression={[datetime]::FromFileTime($_. »msDS-UserPasswordExpiryTimeComputed »)}} | Sort ExpiryDate -Descending

Le résultat retourné par cette commande est affiché dans la screenshot ci-dessous :

Microsoft a publié (le 10/08/2017) la version 1.1 de l’outil gratuit « Active Directory Replication Status Tool »

Pour rappel, AD Replication Status Tool est un outil gratuit qui vous permet d’analyser l’état de réplication de vos DCs (Domain Controllers) dans un domaine ou une forêt Active Directory.

Les principales fonctionnalités offertes par AD Replication Status Tool sont :

  • Exposer les problèmes de réplications parvenus au niveau d’un domaine ou une forêt Active Directory
  • Prioriser les erreurs de réplication devant être résolues pour éviter toute création de « Lingering Objects » au niveau d’une forêt Active Directory
  • Aide les IT Admins  à résoudre les problèmes et erreurs de réplication AD en les liant au contenu /Base TechNet (Contenu AD Replication TroubleShooting) qui regroupe plusieurs centaines de « Problèmes connus » qui peuvent les aider à identifier et résoudre rapidement des problèmes /erreurs de réplication AD
  • permet l’export des données de réplication collectées pour une analyse « Offline » ultérieur

 

What Next ?

Télécharger l’outil Active Directory Replication Status Tool, V1.1

Restauration de l’état du système

Vous pouvez effectuer une restauration autoritaire de SYSVOL lors de la restauration de l’état du système, soit en ligne de commande avec « WBAdmin » en ajoutant « –authsysvol », soit avec l’interface graphique en mode restauration d’annuaire en cochant la case :

Par contre si vous faites une restauration complète depuis le support d’installation, vous devez utiliser les procédures présentées au prochain paragraphe.

Restauration autoritaire avec NTFRS

Vous pouvez configurer la restauration autoritaire de SYSVOL après la restauration du premier DC de chaque domaine en modifiant la valeur « BurFlags » du registre sur « D4 » :

« HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NtFrs\Parameters\Backup/Restore\Process at Startup » 

  • D4 : restauration faisant autorité sur les autres DCs
  • D2 : restauration non autoritaire uniquement pour ce DC

Après la modification du registre, vous devez redémarrer le serveur ou le service NTFRS :

Net stop NTFRS

Net Start NTFRS

Ou plus simplement :

Net Stop NTFRS && Net Start NTFRS

Restauration autoritaire avec DFS-R

Vous pouvez effectuer une restauration autoritaire de « SYSVOL » lors de la restauration du premier DC en utilisant la méthode suivante.

Ouvrez la console « Utilisateurs et Ordinateurs Active Directory ». Dans affichage, sélectionnez les options « Utilisateurs, contact,… en tant que conteneur » et « Fonctionnalités avancées » :

Dans le menu de gauche, allez sous « Domain Controllers », ouvrez le détail de votre contrôleur de domaine, puis allez sous « DFS-LocalSettings », « DomainSystem Volume »

Dans le panneau central faites un clic droit sur « Domain System Volume » et sélectionnez propriétés. Dans « éditeur d’attributs », recherchez « msDFSR-Options » et définissez la valeur à «»

Si vous souhaitez effectuer une restauration autoritaire de « SYSVOL » en dehors d’une procédure de restauration d’une forêt, je vous conseille de lire l’article suivant :

https://support.microsoft.com/en-us/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-for-dfsr-replicated-sysvol-like-d4-d2-for-frs

====================================================================

Cet article est un extrait de l’eBook « Active Directory 2012 et 2021 R2 – Sauvegarde et Restauration« , disponible sur BecomeITExpert.com

Hello tout le monde,

La liste complète des DCs de votre domaine AD peut être obtenu via :

Windows PowerShell (Cmd-lets Get-ADDomainController ou Get-ADGroupMember)

Outil CLI : NLTest.exe

 

Comment ça marche ?

Via la Cmd-let « Get-ADDomainController »

  • Lancez Windows PowerShell (en tant qu’Admin) depuis un DC ou un serveur d’administration ayant les outils RSAT AD DS installés
  • Saisissez la commande suivante : Get-ADDomainController -Filter * | Select Name

Via la Cmd-Let « Get-ADGroupMember »

  • Lancez Windows PowerShell (en tant qu’Admin) depuis un DC ou un serveur d’administration ayant les outils RSAT AD DS installés
  • Saisissez la commande suivante : Get-ADGroupMember « Contrôleurs de Domaine » | Select Name
    • Note importante : Cette commande retourne uniquement les WDC (Writable Domain Controllers), si vous souhaitez aussi lister les RODC (Read-Only Domain Controllers), vous devez exécuter la commande : Get-ADGroupMember « Read-Only Domain Controllers » | Select Name

Via l’outil CLI « NLTest.exe »

  • Lancez l’Invite de commande (CMD.exe) depuis un DC ou une machine d’administration et saisissez la commande suivante : NLTest /DCList:Nom_de_domaine

Un très bon article de Philippe BARTH [MVP Directory Services] sur le Sizing des DC (Domain Controller) pour une infrastructure Active Directory 2008, 2008 R2, 2012, 2012 R2 et 2016.

Ci-après un extrait

====================================================================

En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d’un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows Server 2012 R2, sans trop justifier cette valeur. Active Directory n’est pas un service très exigeant au niveau des performances en comparaison d’un serveur Exchange ou d’une base de données SQL Server.

Le premier point sur lequel je souhaite justement revenir est la mémoire. Il est recommandé pour des raisons de performances d’avoir suffisamment de mémoire pour conserver l’ensemble de l’annuaire dans la mémoire. A la création le fichier « NTDS.dit » à une taille inférieur à 50 Mo. Même si la taille de la base de données est variable en fonction du nombre d’utilisateurs, de groupe, si vous stocker des photos pour les utilisateurs etc…, vous verrez qu’un annuaire pour une société de moins de 300 personnes ne dépassera sans doute pas les 300Mo.

La quantité minimale de RAM devrait être supérieur à la somme de la taille de la base de données, la taille SYSVOL totale, le montant recommandé du système d’exploitation et les recommandations du fournisseur pour les agents (antivirus, surveillance, sauvegarde, etc.). Donc si on compte 1Go pour Windows 2012, 300Mo pour la base AD et 100 Mo pour le service DNS, dans une petite structure, 2 Go de mémoire peut être suffisant si le DC n’héberge pas d’autres rôles.
Dans une structure plus importante, par exemple avec une forêt multi-domaine, le rôle de catalogue global augmente la consommation de mémoire. De plus si vous installez des outils tiers comme System Center (client SCCM, agent SCOM) vous devrez peut-être prévoir un minimum de 3Go voir 4Go.

LIRE LA SUITE…

Une astuce AD qui peut vous être utile lors de vos audit Active Directory 🙂

Comment lister tous les comptes d’Ordinateurs Active Directory qui sont « Désactivés » ?

La réponse est simple, lancez Windows PowerShell (en tant qu’Admin) depuis un DC (Writable) du domaine ou serveur d’administration ayant les outils RSAT AD DS d’installés, et exécutez la commande suivante :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Ft -AutoSize

Vous pouvez trier (par Date) le résultat retourné par la commande en rajoutant un « Pipe » Sort-Object -Descending, la commande devient donc :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Sort-Object -Descending | FT -AutoSize

Enfin, le résultat (liste complète des Comptes Ordinateurs AD Désactivés) peut être exporté vers un fichier TXT ou CSV, et ce via l’utilisation d’un Pipe suivi de la Cmd-Let Export-CSV Chemin_d’Export, la commande finale est donc :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Sort-Object -Descending | Export-CSV C:\Liste_CompteOrdiAD_Desactives.csv

Lors de la création d’une nouvelle Unité d’Organisation (OU : Organizational Unit), celle-ci est par défaut « Protégée contre la suppression accidentelle »; il arrive que des IT Admins désactivent cette option. Il s’agit ici d’un risque majeur car une OU peut avoir des sous-OU contenant des objets de sécurité « critiques » tels que des comptes utilisateurs (VIP : PDG /DG), des compteurs ordinateurs (Laptop de directeurs : Administratif /Financier…) voire aussi des partages, imprimantes, groupes de sécurité …Etc

Il est recommandé d’effectuer régulièrement un audit « Light » des OU non protégées contre la suppression accidentelle.

Comment ça marche ?
Lister toutes les OUs non protégées contre la suppression accidentelle

Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés

Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | FT -AutoSize

Activer la « Protection contre la suppression accidentelle » sur les OUs non protégées 

Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés

Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true

 

Si vous cherchez un moyen pour lister tous les comptes utilisateurs AD ayant un mot de passe qui « N’expire jamais », eh bien, The « Best & Easiest » way est l’utilisation de la Cmd-Let « Search-ADAccount », fournie avec le module PowerShell « ActiveDirectory »

Comment ça marche ?
  • Lancez Windows PowerShell (en tant qu’Administrateur) depuis un DC (Domain Controller) ou un serveur d’administration ayant les outils RSAT AD DS installés, et saisissez ensuite la commande suivante :
    • Search-ADAccount -PasswordNeverExpires

That’s all :).

Si vous cherchez un moyen pour lister tous les comptes utilisateurs AD « Désactivés », eh bien, The « Best & Easiest » way est l’utilisation de la Cmd-Let « Search-ADAccount », fournie avec le module PowerShell « ActiveDirectory »

Comment ça marche ?
  • Lancez Windows PowerShell (en tant qu’Administrateur) depuis un DC (Domain Controller) ou un serveur d’administration ayant les outils RSAT AD DS installés, et saisissez ensuite la commande suivante :
    • Search-ADAccount -AccountDisabled

That’s all :).

Connaitre son environnement

Lors de la migration d’un environnement Active Directory vous risquez de rencontrer des difficultés avec les éléments qui dépendent de votre annuaire. Citons par exemple Microsoft Exchange dont les services sont très dépendants du catalogue global. Ces difficultés sont liées en général à des oublis lors de la mise à niveau, surtout dans de grandes entreprises, où la personne en charge de la migration, n’a pas forcément conscience de l’ensemble des applicatifs s’appuyant sur l’AD. Afin de préparer au mieux votre déploiement, il est recommandé de réaliser un inventaire de votre environnement et des services qui en dépendent.

Documentez les éléments suivants :

  • Liste des domaines avec le niveau fonctionnel, les approbations de domaine ou de forêt.
  • Liste des contrôleurs de domaine avec les rôles (Serveur de fichiers et d’impression, DNS, DHCP, KMS,…) et les applications installées.
  • Lister les serveurs qui disposent du catalogue global, des rôles FSMO, serveurs tête de pont pour la réplication inter-sites.
  • Liste des serveurs DNS, liste des zones DNS, redirecteurs, redirecteurs conditionnels et zone de Stub.
  • Liste des sites, sous réseau et lien de site (performances, plage de disponibilités).
  • Liste des équipements qui utilisent l’annuaire LDAP (serveur Proxy Web avec authentification, serveur Radius, solution VPN, copieurs multifonctions).
  • Liste des applications utilisant l’authentification Active Directory ou exécutant des requêtes LDAP (inspecter les applications qui utilisent le compte et le mot de passe Windows comme information de connexion).

Il est recommandé d’utiliser les services DNS sur vos contrôleurs de domaine. Il est préférable d’utiliser des zones DNS intégrés à Active Directory et acceptant les mises à jour sécurisées. Les zones intégrées Active Directory bénéficient de la réplication multi-maître AD et sont donc toutes accessibles en écriture. Il n’est pas obligatoire que tous vos contrôleurs de domaines soient serveur DNS. Dans un environnement Multi-Site, si vous prévoyez d’installer un contrôleur de domaine afin de garantir la disponibilité du service, il est primordial d’assurer également la résolution de nom sur ce site. Dans une forêt Active Directory il existe une zone DNS propre à la forêt « _mstsc » et une zone pour chaque domaine de la forêt. Il est recommandé de répliquer la zone de la forêt sur tous les DCs de la forêt et la zone du domaine sur tous les DCs du domaine. Les problèmes DNS sont à l’origine de beaucoup de problèmes Active Directory.

Note importante : les applications suivantes sont fortement liées à l’AD (liste non exhaustive)

* Exchange Server

* Lync /Skype for Business

* System Center

* Services de synchronisation de profil SharePoint

Pour vous aider à préparer votre déploiement, vous pouvez utiliser les informations suivantes.
Vous pouvez consulter la liste des domaines de votre forêt depuis la console « Domaines et Approbations Active Directory» accessible via l’outil « Domain.msc ». Dans notre laboratoire la forêt comporte un domaine unique.

Vous pouvez utiliser la commande PowerShell suivante pour lister tous les domaines de la forêt :

Get-ADForest | Select Domains

Déterminer les catalogues globaux pour chaque domaine, depuis la console « Utilisateurs et Ordinateurs Active Directory », sur l’unité d’organisation « Domain Controllers » :

La commande PowerShell suivante permet de lister les DCs qui sont catalogues globaux :

Get-ADForest | Select GlobalCatalogs

Pour le niveau fonctionnel des domaines et de la forêt, utilisez la console « Domaines et approbations Active Directory ». Il suffit de faire un clic droit sur le nom du domaine ou sur « Domaines et approbations Active Directory », puis sélectionnez « Augmenter le niveau fonctionnel du domaine/de la forêt ».

Pour déterminer le niveau fonctionnel de la forêt avec PowerShell, utilisez la commande :
Get-ADForest | select Forestmode

Pour le niveau fonctionnel du domaine, utilisez la commande :
Get-ADDomain | select Domainmode

Vous trouverez la liste des zones DNS hébergées sur un contrôleur de domaine à partir de la console DNS (sauf si vos DCs ne font pas office de DNS Server).

Vous pouvez vérifier si la zone est intégrée à Active Directory dans les propriétés de la zone. Sur l’image ci-dessous, vous pourrez déterminer les paramètres de réplications de la zone. La flèche indique les options de mise à jour de la zone.

Si la zone DNS hébergée sur votre DC n’est pas intégrée à l’annuaire Active Directory, vous pouvez modifier le paramètre depuis cette page. Le changement en zone intégrée à l’AD n’impacte pas la production.

Vous trouverez également le détail des relations d’approbations en ouvrant les propriétés du domaine en question, sur la page « Approbations ».

Pour lister les rôles installés sur un serveur, utilisez la commande PowerShell suivante :

Import-Module ServerManager

Get-WindowsFeature | Where-Object {$_.Installed -eq « Installed »}

La console « Sites et Services Active Directory », vous permettra de faire le point sur la partie Sites, Réseaux et Lien de sites.

Pour déterminer si un contrôleur de domaines a été défini comme serveur tête de pont pour la réplication intersites, ouvrez les propriétés du serveur. Dans la page « Général », vous pourrez vérifier si le DC en question est serveur tête de pont.


Cet article est un extrait de l’eBook (Step-by-step guide) : Migrer son infrastructure Active Directory vers Windows Server 2012 et 2012 R2