Articles Tagués ‘Philippe BARTH’

A propos de cet eBook

Ce livre présente un ensemble de commandes PowerShell inclus dans le module Active Directory (2016 et 2019 Server). Il vous permettra de vous familiariser avec ce langage puissant.

A la fin de ce livre, vous serez capable de :

  • Gérer les unités d’organisations
  • Gérer les groupes
  • Gérer les comptes d’utilisateurs et d’ordinateur
  • Effectuer des recherches avancées dans AD DS
  • Exporter des données formatées de votre annuaire
  • Importer des comptes dans un traitement automatisé
  • Planifier des scripts pour automatiser vos traitements
  • Manipuler des objets

 

De plus, l’eBook présente une partie des commandes du module Active Directory, il n’est pas exhaustif. La majorité des exemples présentés ici fonctionneront également avec des contrôleurs de domaine en Windows Server 2008 R2, même si les illustrations ont été réalisés sur Windows Server 2016.

Publics concernés par cet eBook

Ce guide pas à pas peut intéresser plusieurs populations IT :

  • DSI
  • Responsable Technique /Infrastructure
  • Architecte Infrastructure
  • Consultant Infrastructure
  • Chef de Projet Technique
  • Ingénieur Systèmes /Réseaux
  • Administrateur Système /Réseau
  • Technicien de Support /Système /Réseau
  • Toute personne désirant gérer son environnement Active Directory avec PowerShell

 

L’eBook est organisé en 8 Chapitres, voir la table des matières suivante pour en savoir plus :

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

Très bon eBook de Philippe BARTH | Microsoft MVP sur Directory Services.

Bonne lecture à tous :).

A bientôt,

#HK

Publicités
HowTo : Réinitialiser le mot de passe DSRM de votre annuaire AD

Le mot de passe de restauration d’annuaire (DSRM : Directory Service Restore Mode)  est particulier. Il est utile dans les situations d’urgence et est rarement utilisé. Il n’est pas identique au mot de passe de l’administrateur du domaine et il peut être différent entre les contrôleurs de domaine. Il est important de mettre ce mot de passe en lieu sûr.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.
Ouvrez une invite de commande DOS (en tant qu’administrateur si la version est égale ou supérieure à Windows 2008) :

NTDSUtil
Set dsrm password
Reset password on server null
“Nouveau mot de passe”
”Confirmer le mot de passe”
Quit

 

Cet article vous a plu ?

Il s’agit d’un extrait de la Seconde Edition du livre « Active Directory 2016 – Déploiement et Administration en Entreprise ».

Disponible sur BecomeITExpert.com, cliquez sur l’image ci-dessous pour en savoir plus :

Introduction 

« NtDSutil » est un outil de maintenance d’Active Directory et permet entre autres de :

  • Nettoyer l’AD et les métadonnées : si un de vos contrôleurs de domaine devait tomber en panne ou que vous ayez un domaine orphelin, vous pouvez utiliser « NTDSUtil » pour nettoyer les métadonnées et supprimer les liens de réplication obsolète. A partir de Windows 2008, les métadonnées sont nettoyées lors de la suppression du compte ordinateur dans « utilisateurs et ordinateurs Active Directory » ou du « NTDSSettings » dans la console « Sites et Services Active Directory ».
  • Déplacer vérifier ou défragmenter la base de l’annuaire (ntds.dit) : vous pouvez déplacer la base de données de l’annuaire sur un autre volume. La défragmentation n’est pas une opération que vous devez prévoir fréquemment si vous êtes dans une petite structure.

Note importante : Le déplacement avec « NTDSUtil » ne modifie pas le dossier « SYSVOL » contenant les stratégies de groupes, mais uniquement les fichiers de l’annuaire. La méthode recommandée pour déplacer « SYSVOL » est de rétrograder puis de réinstaller les services de domaine, même si vous trouverez facilement des articles qui expliquent comment effectuer un déplacement manuel.

  • Transférer les rôles de maître d’opération (FSMO)

 

HowTo : Utiliser NTDSUtil

Nous allons voir au travers de quelques exemples, l’utilisation de NTDSUtil, comme par exemple déplacer les fichiers de l’annuaire. Pour ce type d’opération il est nécessaire que les services de l’annuaire soient arrêtés.

Pour arrêter les services, utilisez la console « services.msc » et recherchez le service « Service de domaine Active Directory ».

Faites un clic droit sur le nom du service, puis « Arrêter ».

La console vous propose d’arrêter automatiquement les services dépendants.

Pour déplacer la base de données de l’annuaire, ouvrez une « invite de commandes » en tant qu’administrateur sur le contrôleur de domaine et utilisez les commandes :

NTDSUtil

Activate instance NTDS

Files

Move db to D:\nouveau_dossier

Après le déplacement du fichier « NTDS.dit », vous pouvez déplacer les journaux de la base avec la commande :

Move logs to D:\nouveau_dossier

Pour vérifier l’intégrité de la base de données vous pouvez utiliser les commandes « checksum » et « integrity ».

Pour quitter « NTDSutil , saississez « quit » jusqu’à revenir au prompt.

Pour déplacer les rôles de maître d’opération (FSMO) avec « NtDsUtil », vous pouvez utiliser les commandes suivantes :

NTDSUtil

Roles

connections

connect to server “monserveur”

q

Ensuite vous pouvez transférer un ou plusieurs rôles avec les commandes :

transfer pdc

transfer RID master

Transfer infrastructure master

Transfer schema master

Transfer naming master

Si l’ancien contrôleur de domaine disposant du rôle n’est plus disponible, vous devez remplacer « transfer » par « seize » pour forcer la prise de rôle.

Une confirmation vous est demandée, cliquez sur « Oui ».

 

Cet article vous a plu ?

Il s’agit d’un extrait de la Seconde Edition du livre « Active Directory 2016 – Déploiement et Administration en Entreprise ».

Disponible sur BecomeITExpert.com, cliquez sur l’image ci-dessous pour en savoir plus :

Introduction

Après le succès qu’a connu la première Edition du livre « Active Directory 2012 R2 – Déploiement et Administration en Entreprise », la Seconde Edition traitant Active Directory 2016 voit le jour :).

 

A propos de cet eBook

Ce livre est à destination des informaticiens débutant dans le monde de l’administration système souhaitant découvrir ou compléter leur connaissance sur Active Directory. Il peut convenir à des :

  • Etudiants en informatique ;
  • Administrateur système et réseau ;
  • Ingénieur système et réseau en charge de la planification de déploiement Active Directory ;
  • Technicien de support, système ou réseau ;
  • Toute personne qui prévoit d’installer ou de gérer un domaine Active Directory.

 

Dans la pratique si vous devez planifier un déploiement ou si vous ne savez pas pourquoi DNS est indispensable au service de domaine Active Directory, que vous ne connaissez pas « DCDiag.exe » et « RepAdmin.exe » ce livre peut vous être utile.
Afin de suivre au mieux les différents éléments techniques contenus dans cet ouvrage il est préférable d’avoir :

  • Des connaissances sur les réseaux TCP/IP ;
  • De connaître le principe de la résolution DNS ;
  • D’avoir des connaissances de base dans l’installation et l’administration de Windows

 

Nouveautés de la Seconde Edition

Cette seconde édition du livre sur les services de domaines Active Directory comme la première édition est organisée afin de permettre à chaque lecteur de mettre en œuvre les différents éléments au fil de la lecture. Si le principe n’a pas changé, la deuxième édition présente les services de domaines sur Windows Server 2016 et a été enrichi d’exemples supplémentaires comme par exemple :

  • Déploiement d’applications par les stratégies de groupe
  • « Priviliged Access Management Feature » qui permet d’ajouter temporairement des personnes à des groupes de sécurité
  • Les contrôleurs de domaine en lecture seule (RODC) sont détaillés.

 

Dans cette nouvelle édition des commandes PowerShell sont proposées en plus de l’outil graphique. Les exemples sont simples et aucune compétence spécifique sur PowerShell n’est requise.
Le chapitre sur la sauvegarde a également été enrichi.
Cette édition présente également l’utilisation d’outil supplémentaire comme AD Replication Status Tool, un indispensable à l’analyse de l’état de santé d’une forêt AD.
Et surtout un chapitre dédié à la synchronisation des comptes (AAD Connect) avec Office 365 ou Azure Active Directory. Il décrit les différentes étapes, de la validation de vos noms de domaines publics sur le portail Microsoft, jusqu’à la configuration de la synchronisation et présente les options récemment ajoutées par Microsoft pour améliorer le ressenti utilisateur (Pass-Through Authentication, Seamless SSO).

 

A propos de l’Auteur 

Philippe BARTH est Expert Active Directory (toute version), avec une grande expérience sur le déploiement et les migrations.
Il est certifié Microsoft MCSA et reconnu Microsoft MVP (Most Valuable Professional) depuis 2014 entre autres dans la catégorie Directory Services.
Il participe activement aux communautés Microsoft dont le forum et la Gallerie Technet.

Philippe intervient également en tant que consultant sur les sujets/produits suivants :

  • Active Directory
  • Exchange Server
  • Skype For Business
  • System Center Configuration Manager
  • System Center Operation Manager

 

Enfin, vous pouvez :

 

Table des Matières

L’eBook est organisé en 9 Chapitres, voir la table des matières suivante pour en savoir plus :

Ce diaporama nécessite JavaScript.

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

Read & Enjoy :).

A propos de cet eBook

La sauvegarde et la restauration d’Active Directory sont des opérations particulières. Souvent un peu perdu au milieu de la stratégie de sauvegarde de l’entreprise, la sauvegarde AD répond à certaines règles particulières.

Un annuaire AD intègre est un ensemble cohérent de contrôleurs de domaine d’une même forêt qui possèdent des éléments communs et des objets particuliers pour chaque domaine de la forêt. La restauration Active Directory nécessite de conserver cette cohérence.

Comme sur d’autres produits, il existe différents niveaux de granularité entre la restauration complète de la forêt et la restauration d’un utilisateur ou d’une stratégie de groupe, la démarche n’est pas identique. La maîtrise de ces processus passe par la connaissance de son environnement et de certains principes.
A la fin de ce livre, vous serez capable de :

Planifier et mettre en œuvre la sauvegarde d’Active Directory Domain Services
Définir et utiliser les outils de restaurations d’objet Active Directory (Utilisateurs, Ordinateurs, …)
Décrire et utiliser les outils de sauvegarde et restauration des stratégies de groupe
D’expliquer le principe de restauration autoritaire Active Directory / Sysvol
De restaurer l’intégralité d’une forêt Active Directory dans un environnement multi domaines.

N’attendez plus, apprenez dès aujourd’hui, à planifier et créer un plan de reprise d’activité (PRA) de votre infrastructure Active Directory

Très bon eBook écrit par Philippe BARTH, MVP Directory Services

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

 

Un très bon article de Philippe BARTH [MVP Directory Services] sur le Sizing des DC (Domain Controller) pour une infrastructure Active Directory 2008, 2008 R2, 2012, 2012 R2 et 2016.

Ci-après un extrait

====================================================================

En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d’un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows Server 2012 R2, sans trop justifier cette valeur. Active Directory n’est pas un service très exigeant au niveau des performances en comparaison d’un serveur Exchange ou d’une base de données SQL Server.

Le premier point sur lequel je souhaite justement revenir est la mémoire. Il est recommandé pour des raisons de performances d’avoir suffisamment de mémoire pour conserver l’ensemble de l’annuaire dans la mémoire. A la création le fichier « NTDS.dit » à une taille inférieur à 50 Mo. Même si la taille de la base de données est variable en fonction du nombre d’utilisateurs, de groupe, si vous stocker des photos pour les utilisateurs etc…, vous verrez qu’un annuaire pour une société de moins de 300 personnes ne dépassera sans doute pas les 300Mo.

La quantité minimale de RAM devrait être supérieur à la somme de la taille de la base de données, la taille SYSVOL totale, le montant recommandé du système d’exploitation et les recommandations du fournisseur pour les agents (antivirus, surveillance, sauvegarde, etc.). Donc si on compte 1Go pour Windows 2012, 300Mo pour la base AD et 100 Mo pour le service DNS, dans une petite structure, 2 Go de mémoire peut être suffisant si le DC n’héberge pas d’autres rôles.
Dans une structure plus importante, par exemple avec une forêt multi-domaine, le rôle de catalogue global augmente la consommation de mémoire. De plus si vous installez des outils tiers comme System Center (client SCCM, agent SCOM) vous devrez peut-être prévoir un minimum de 3Go voir 4Go.

LIRE LA SUITE…

Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l’état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support.

« DCDiag » réalise par défaut le diagnostic du contrôleur de domaine sur lequel il est exécuté. Il est possible de vérifier l’ensemble des DCs d’un site avec « /a » ou de la forêt avec « /e ». Il est possible de n’enregistrer que les erreurs avec « /q » ou de générer un rapport avec « /f:fichier.txt ». L’option « /i » permet d’ignorer les avertissements sans gravité. Il est recommandé de faire un test DNS « /test : DNS » en plus. Voici les trois exemples de test possibles avec la création d’un rapport sur « C:\Temp » qui porte le nom du DC :

DCDiag /a /i /f:c:\temp\%Computername%Full.txt

DCDiag /a /i /q /f:c:\temp\%Computername%Erreur.txt

DCDiag /test:DNS /f:c:\temp\%Computername%DNS.txt

Dans le rapport créé par « dcdiag », chaque commande apparaît avec un résultat. Vous devez vérifier qu’il n’y a pas d’échec.

La commande « Repadmin » permet de vérifier l’état de la réplication de l’annuaire Active Directory mais ne détecte pas les erreurs de réplication de « SYSVOL ». Pour vérifier la réplication des partitions d’annuaire, utilisez la commande suivante :

Repadmin /showrepl

Il est important de vérifier que le vérificateur de cohérence de la  topologie de réplication (KCC) n’est pas désactivé pour le site. S’il est désactivé, vous verrez dans les options de site le texte  « IS_AUTO_TOPOLOGY_DISABLED »

Dans ce cas, vous devrez sans doute ajouter manuellement des liens de réplications pour les nouveaux DC. La commande pour réactiver le KCC est :

Repadmin /SiteOptions /site:Paris

-IS_AUTO_TOPOLOGY_DISABLED

La commande suivante permet d’avoir un rapport général sur la réplication et sur la latence. Dans notre laboratoire nous n’avons pour le moment que deux DCs sur deux sites avec  une réplication inter-sites configuré à 180 minutes et la latence n’est pas négligeable.

Repadmin /replsummary

Il existe un autre outil qui vous permet d’analyser les problèmes de réplication des différentes partitions. Il indique des liens vers les KB (Knowledge Base) Microsoft en cas d’erreur. Il s’agit d’Active Directory Replication Status Tool disponible en téléchargement gratuit à l’URL suivante :

https://www.microsoft.com/en-us/download/details.aspx?id=30005

L’observateur d’événement est également un outil permettant d’obtenir de nombreuses informations. Je vous recommande de consulter les journaux :

  • Système
  • Réplication DFS (si SYSVOL utilise DFS-R)
  • Serveur DNS
  • Service de réplication de fichier (si SYSVOL utilise NTFRS)
  • Service D’annuaire

===================================================================

Cet article est un extrait de l’eBook « Migrer son infrastructure Active Directory vers Windows Server 2012 et 2012 R2« , disponible sur BecomeITExpert.com