Articles Tagués ‘Active Directory 2016’

Microsoft a publié (le 10/08/2017) la version 1.1 de l’outil gratuit « Active Directory Replication Status Tool »

Pour rappel, AD Replication Status Tool est un outil gratuit qui vous permet d’analyser l’état de réplication de vos DCs (Domain Controllers) dans un domaine ou une forêt Active Directory.

Les principales fonctionnalités offertes par AD Replication Status Tool sont :

  • Exposer les problèmes de réplications parvenus au niveau d’un domaine ou une forêt Active Directory
  • Prioriser les erreurs de réplication devant être résolues pour éviter toute création de « Lingering Objects » au niveau d’une forêt Active Directory
  • Aide les IT Admins  à résoudre les problèmes et erreurs de réplication AD en les liant au contenu /Base TechNet (Contenu AD Replication TroubleShooting) qui regroupe plusieurs centaines de « Problèmes connus » qui peuvent les aider à identifier et résoudre rapidement des problèmes /erreurs de réplication AD
  • permet l’export des données de réplication collectées pour une analyse « Offline » ultérieur

 

What Next ?

Télécharger l’outil Active Directory Replication Status Tool, V1.1

Publicités
Restauration de l’état du système

Vous pouvez effectuer une restauration autoritaire de SYSVOL lors de la restauration de l’état du système, soit en ligne de commande avec « WBAdmin » en ajoutant « –authsysvol », soit avec l’interface graphique en mode restauration d’annuaire en cochant la case :

Par contre si vous faites une restauration complète depuis le support d’installation, vous devez utiliser les procédures présentées au prochain paragraphe.

Restauration autoritaire avec NTFRS

Vous pouvez configurer la restauration autoritaire de SYSVOL après la restauration du premier DC de chaque domaine en modifiant la valeur « BurFlags » du registre sur « D4 » :

« HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NtFrs\Parameters\Backup/Restore\Process at Startup » 

  • D4 : restauration faisant autorité sur les autres DCs
  • D2 : restauration non autoritaire uniquement pour ce DC

Après la modification du registre, vous devez redémarrer le serveur ou le service NTFRS :

Net stop NTFRS

Net Start NTFRS

Ou plus simplement :

Net Stop NTFRS && Net Start NTFRS

Restauration autoritaire avec DFS-R

Vous pouvez effectuer une restauration autoritaire de « SYSVOL » lors de la restauration du premier DC en utilisant la méthode suivante.

Ouvrez la console « Utilisateurs et Ordinateurs Active Directory ». Dans affichage, sélectionnez les options « Utilisateurs, contact,… en tant que conteneur » et « Fonctionnalités avancées » :

Dans le menu de gauche, allez sous « Domain Controllers », ouvrez le détail de votre contrôleur de domaine, puis allez sous « DFS-LocalSettings », « DomainSystem Volume »

Dans le panneau central faites un clic droit sur « Domain System Volume » et sélectionnez propriétés. Dans « éditeur d’attributs », recherchez « msDFSR-Options » et définissez la valeur à «»

Si vous souhaitez effectuer une restauration autoritaire de « SYSVOL » en dehors d’une procédure de restauration d’une forêt, je vous conseille de lire l’article suivant :

https://support.microsoft.com/en-us/help/2218556/how-to-force-an-authoritative-and-non-authoritative-synchronization-for-dfsr-replicated-sysvol-like-d4-d2-for-frs

====================================================================

Cet article est un extrait de l’eBook « Active Directory 2012 et 2021 R2 – Sauvegarde et Restauration« , disponible sur BecomeITExpert.com

Hello tout le monde,

La liste complète des DCs de votre domaine AD peut être obtenu via :

Windows PowerShell (Cmd-lets Get-ADDomainController ou Get-ADGroupMember)

Outil CLI : NLTest.exe

 

Comment ça marche ?

Via la Cmd-let « Get-ADDomainController »

  • Lancez Windows PowerShell (en tant qu’Admin) depuis un DC ou un serveur d’administration ayant les outils RSAT AD DS installés
  • Saisissez la commande suivante : Get-ADDomainController -Filter * | Select Name

Via la Cmd-Let « Get-ADGroupMember »

  • Lancez Windows PowerShell (en tant qu’Admin) depuis un DC ou un serveur d’administration ayant les outils RSAT AD DS installés
  • Saisissez la commande suivante : Get-ADGroupMember « Contrôleurs de Domaine » | Select Name
    • Note importante : Cette commande retourne uniquement les WDC (Writable Domain Controllers), si vous souhaitez aussi lister les RODC (Read-Only Domain Controllers), vous devez exécuter la commande : Get-ADGroupMember « Read-Only Domain Controllers » | Select Name

Via l’outil CLI « NLTest.exe »

  • Lancez l’Invite de commande (CMD.exe) depuis un DC ou une machine d’administration et saisissez la commande suivante : NLTest /DCList:Nom_de_domaine

Un très bon article de Philippe BARTH [MVP Directory Services] sur le Sizing des DC (Domain Controller) pour une infrastructure Active Directory 2008, 2008 R2, 2012, 2012 R2 et 2016.

Ci-après un extrait

====================================================================

En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d’un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows Server 2012 R2, sans trop justifier cette valeur. Active Directory n’est pas un service très exigeant au niveau des performances en comparaison d’un serveur Exchange ou d’une base de données SQL Server.

Le premier point sur lequel je souhaite justement revenir est la mémoire. Il est recommandé pour des raisons de performances d’avoir suffisamment de mémoire pour conserver l’ensemble de l’annuaire dans la mémoire. A la création le fichier « NTDS.dit » à une taille inférieur à 50 Mo. Même si la taille de la base de données est variable en fonction du nombre d’utilisateurs, de groupe, si vous stocker des photos pour les utilisateurs etc…, vous verrez qu’un annuaire pour une société de moins de 300 personnes ne dépassera sans doute pas les 300Mo.

La quantité minimale de RAM devrait être supérieur à la somme de la taille de la base de données, la taille SYSVOL totale, le montant recommandé du système d’exploitation et les recommandations du fournisseur pour les agents (antivirus, surveillance, sauvegarde, etc.). Donc si on compte 1Go pour Windows 2012, 300Mo pour la base AD et 100 Mo pour le service DNS, dans une petite structure, 2 Go de mémoire peut être suffisant si le DC n’héberge pas d’autres rôles.
Dans une structure plus importante, par exemple avec une forêt multi-domaine, le rôle de catalogue global augmente la consommation de mémoire. De plus si vous installez des outils tiers comme System Center (client SCCM, agent SCOM) vous devrez peut-être prévoir un minimum de 3Go voir 4Go.

LIRE LA SUITE…

Une astuce AD qui peut vous être utile lors de vos audit Active Directory 🙂

Comment lister tous les comptes d’Ordinateurs Active Directory qui sont « Désactivés » ?

La réponse est simple, lancez Windows PowerShell (en tant qu’Admin) depuis un DC (Writable) du domaine ou serveur d’administration ayant les outils RSAT AD DS d’installés, et exécutez la commande suivante :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Ft -AutoSize

Vous pouvez trier (par Date) le résultat retourné par la commande en rajoutant un « Pipe » Sort-Object -Descending, la commande devient donc :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Sort-Object -Descending | FT -AutoSize

Enfin, le résultat (liste complète des Comptes Ordinateurs AD Désactivés) peut être exporté vers un fichier TXT ou CSV, et ce via l’utilisation d’un Pipe suivi de la Cmd-Let Export-CSV Chemin_d’Export, la commande finale est donc :

Get-ADComputer -Filter {(name -like « * ») -and (enabled -eq $FALSE)} -Properties * | Select Name, LastLogonDate | Sort-Object -Descending | Export-CSV C:\Liste_CompteOrdiAD_Desactives.csv

 

S’applique à : Active Directory 2008 – 2008 R2 – 2008 R2 SP1 – 2012 – 2012 R – 2016

Tout d’abord, il faut savoir qu’il existe deux types de défragmentation de la base AD : En-ligne & Hors-ligne

Par défaut, les défragmentations En-ligne se produisent (automatiquement) toutes les 12 heures. Cette défragmentation fait partie du processus Garbage Collection d’Active Directory, décrit dans la KB Microsoft suivante :

The Active Directory Database Garbage Collection Process

Bien que la nature automatique des défragmentations en ligne les rendent commodes, elles ne réduisent en rien la taille du fichier base de données AD (NTDS.Dit) sur un Contrôleur de domaine. Les défragmentations en ligne ne font que récupérer l’espace libre de l’intérieur du fichier. Pour réduire la taille du fichier vous devez effectuer une défragmentation manuelle. Pour ce faire, suivez les instructions suivantes.

Dans l’exemple suivant, la taille de ma base AD (taille du fichier NTDS.dit) est ~2.65 GB :

Nous allons donc procéder à la défragmentation de la base afin de réduire la taille du fichier NTDS.dit, pour ce faire, suivez les instructions suivantes :

Lancez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante pour arrêter le service NTDS (service Windows correspondant à l’instance AD DS : Active Directory Domain Services)

Net Stop NTDS

Plusieurs services Windows dépendent du services NTDS, notamment les service DNS et DFS Replication

Confirmez l’arrêt du service NTDS mais aussi des 4 autres services Windows qui en dépendent, en saisissant Y (comme Yes)

Maintenant que la base AD est arrêtée, nous pouvons effectuer toutes les opérations de maintenance dessus, et notamment l’opération de défragmentation.

Pour ce faire, nous utilisons l’outil NTDSUtil, fourni par défaut sur tout Contrôleur de domaine.

Depuis la même Invite de commande, saisissez les commandes suivantes :

NTDSUtil

Activate Instance NTDS

File

Info

Les informations suivantes sont retournées. Notez la taille du fichier NTDS.dit

Pour défragmenter la base AD, saisissez la commande suivante

Comptact to C:\NTDS.dit

Dans l’exemple suivant, le fichier NTDS.dit (placé par défaut dans C:\Windows\NTDS) sera défragmenté et placé directement dans C:\NTDS.dit

Une fois la défragmentation terminée, vous devrez copiez ce nouveau fichier (défragmenté) dans C:\Windows\NTDS (et écraser l’ancien).

Enfin, saisissez la commande suivante pour copier le nouveau NTDS.dit vers C:\Windows\NTDS et écraser l’ancien base AD

Copy « C:\NTDS.dit\ntds.dit » « C:\Windows\NTDS\ntds.dit »  

Confirmez en saisissant Y (comme Yes)

Notez que vous devez également supprimer les anciens fichiers logs (placés par défaut dans C:\Windows\NTDS\*.log), pour ce faire, saisissez la commande suivante:

Del C:\Windows\NTDS\*.log

Enfin, démarrez la base AD et ses services Windows associés en saisissant :

Net Start NTDS

Ouvrez l’explorateur Windows et notez la nouvelle taille de la base AD. Dans l’exemple suivant, la taille du fichier NTDS.dit a été réduite de 2GB.

Lors des derniers audits AD réalisés chez mes clients, la taille de certaines bases AD est passée de 20 GB à 2,5 GB :).

Pour finir, je vous recommande la réalisation de cette opération d’une manière trimestrielle ou semestrielle, cela permettra d’optimiser l’espace disque utilisé sur les partitions systèmes (C:) de vos DCs, mais surtout améliorer les performances en matière d’authentification sur votre annuaire AD.

A bientôt

HK.

¯_(ツ)_/¯

Lors de la création d’une nouvelle Unité d’Organisation (OU : Organizational Unit), celle-ci est par défaut « Protégée contre la suppression accidentelle »; il arrive que des IT Admins désactivent cette option. Il s’agit ici d’un risque majeur car une OU peut avoir des sous-OU contenant des objets de sécurité « critiques » tels que des comptes utilisateurs (VIP : PDG /DG), des compteurs ordinateurs (Laptop de directeurs : Administratif /Financier…) voire aussi des partages, imprimantes, groupes de sécurité …Etc

Il est recommandé d’effectuer régulièrement un audit « Light » des OU non protégées contre la suppression accidentelle.

Comment ça marche ?
Lister toutes les OUs non protégées contre la suppression accidentelle

Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés

Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | FT -AutoSize

Activer la « Protection contre la suppression accidentelle » sur les OUs non protégées 

Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés

Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true