Articles Tagués ‘Philippe BARTH’

A propos de cet eBook

Ce livre présente un ensemble de commandes PowerShell inclus dans le module Active Directory (2016 et 2019 Server). Il vous permettra de vous familiariser avec ce langage puissant.

A la fin de ce livre, vous serez capable de :

  • Gérer les unités d’organisations
  • Gérer les groupes
  • Gérer les comptes d’utilisateurs et d’ordinateur
  • Effectuer des recherches avancées dans AD DS
  • Exporter des données formatées de votre annuaire
  • Importer des comptes dans un traitement automatisé
  • Planifier des scripts pour automatiser vos traitements
  • Manipuler des objets

 

De plus, l’eBook présente une partie des commandes du module Active Directory, il n’est pas exhaustif. La majorité des exemples présentés ici fonctionneront également avec des contrôleurs de domaine en Windows Server 2008 R2, même si les illustrations ont été réalisés sur Windows Server 2016.

Publics concernés par cet eBook

Ce guide pas à pas peut intéresser plusieurs populations IT :

  • DSI
  • Responsable Technique /Infrastructure
  • Architecte Infrastructure
  • Consultant Infrastructure
  • Chef de Projet Technique
  • Ingénieur Systèmes /Réseaux
  • Administrateur Système /Réseau
  • Technicien de Support /Système /Réseau
  • Toute personne désirant gérer son environnement Active Directory avec PowerShell

 

L’eBook est organisé en 8 Chapitres, voir la table des matières suivante pour en savoir plus :

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

Très bon eBook de Philippe BARTH | Microsoft MVP sur Directory Services.

Bonne lecture à tous :).

A bientôt,

#HK

HowTo : Réinitialiser le mot de passe DSRM de votre annuaire AD

Le mot de passe de restauration d’annuaire (DSRM : Directory Service Restore Mode)  est particulier. Il est utile dans les situations d’urgence et est rarement utilisé. Il n’est pas identique au mot de passe de l’administrateur du domaine et il peut être différent entre les contrôleurs de domaine. Il est important de mettre ce mot de passe en lieu sûr.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.
Ouvrez une invite de commande DOS (en tant qu’administrateur si la version est égale ou supérieure à Windows 2008) :

NTDSUtil
Set dsrm password
Reset password on server null
“Nouveau mot de passe”
”Confirmer le mot de passe”
Quit

 

Cet article vous a plu ?

Il s’agit d’un extrait de la Seconde Edition du livre « Active Directory 2016 – Déploiement et Administration en Entreprise ».

Disponible sur BecomeITExpert.com, cliquez sur l’image ci-dessous pour en savoir plus :

Introduction 

« NtDSutil » est un outil de maintenance d’Active Directory et permet entre autres de :

  • Nettoyer l’AD et les métadonnées : si un de vos contrôleurs de domaine devait tomber en panne ou que vous ayez un domaine orphelin, vous pouvez utiliser « NTDSUtil » pour nettoyer les métadonnées et supprimer les liens de réplication obsolète. A partir de Windows 2008, les métadonnées sont nettoyées lors de la suppression du compte ordinateur dans « utilisateurs et ordinateurs Active Directory » ou du « NTDSSettings » dans la console « Sites et Services Active Directory ».
  • Déplacer vérifier ou défragmenter la base de l’annuaire (ntds.dit) : vous pouvez déplacer la base de données de l’annuaire sur un autre volume. La défragmentation n’est pas une opération que vous devez prévoir fréquemment si vous êtes dans une petite structure.

Note importante : Le déplacement avec « NTDSUtil » ne modifie pas le dossier « SYSVOL » contenant les stratégies de groupes, mais uniquement les fichiers de l’annuaire. La méthode recommandée pour déplacer « SYSVOL » est de rétrograder puis de réinstaller les services de domaine, même si vous trouverez facilement des articles qui expliquent comment effectuer un déplacement manuel.

  • Transférer les rôles de maître d’opération (FSMO)

 

HowTo : Utiliser NTDSUtil

Nous allons voir au travers de quelques exemples, l’utilisation de NTDSUtil, comme par exemple déplacer les fichiers de l’annuaire. Pour ce type d’opération il est nécessaire que les services de l’annuaire soient arrêtés.

Pour arrêter les services, utilisez la console « services.msc » et recherchez le service « Service de domaine Active Directory ».

Faites un clic droit sur le nom du service, puis « Arrêter ».

La console vous propose d’arrêter automatiquement les services dépendants.

Pour déplacer la base de données de l’annuaire, ouvrez une « invite de commandes » en tant qu’administrateur sur le contrôleur de domaine et utilisez les commandes :

NTDSUtil

Activate instance NTDS

Files

Move db to D:\nouveau_dossier

Après le déplacement du fichier « NTDS.dit », vous pouvez déplacer les journaux de la base avec la commande :

Move logs to D:\nouveau_dossier

Pour vérifier l’intégrité de la base de données vous pouvez utiliser les commandes « checksum » et « integrity ».

Pour quitter « NTDSutil , saississez « quit » jusqu’à revenir au prompt.

Pour déplacer les rôles de maître d’opération (FSMO) avec « NtDsUtil », vous pouvez utiliser les commandes suivantes :

NTDSUtil

Roles

connections

connect to server “monserveur”

q

Ensuite vous pouvez transférer un ou plusieurs rôles avec les commandes :

transfer pdc

transfer RID master

Transfer infrastructure master

Transfer schema master

Transfer naming master

Si l’ancien contrôleur de domaine disposant du rôle n’est plus disponible, vous devez remplacer « transfer » par « seize » pour forcer la prise de rôle.

Une confirmation vous est demandée, cliquez sur « Oui ».

 

Cet article vous a plu ?

Il s’agit d’un extrait de la Seconde Edition du livre « Active Directory 2016 – Déploiement et Administration en Entreprise ».

Disponible sur BecomeITExpert.com, cliquez sur l’image ci-dessous pour en savoir plus :

Introduction

Après le succès qu’a connu la première Edition du livre « Active Directory 2012 R2 – Déploiement et Administration en Entreprise », la Seconde Edition traitant Active Directory 2016 voit le jour :).

 

A propos de cet eBook

Ce livre est à destination des informaticiens débutant dans le monde de l’administration système souhaitant découvrir ou compléter leur connaissance sur Active Directory. Il peut convenir à des :

  • Etudiants en informatique ;
  • Administrateur système et réseau ;
  • Ingénieur système et réseau en charge de la planification de déploiement Active Directory ;
  • Technicien de support, système ou réseau ;
  • Toute personne qui prévoit d’installer ou de gérer un domaine Active Directory.

 

Dans la pratique si vous devez planifier un déploiement ou si vous ne savez pas pourquoi DNS est indispensable au service de domaine Active Directory, que vous ne connaissez pas « DCDiag.exe » et « RepAdmin.exe » ce livre peut vous être utile.
Afin de suivre au mieux les différents éléments techniques contenus dans cet ouvrage il est préférable d’avoir :

  • Des connaissances sur les réseaux TCP/IP ;
  • De connaître le principe de la résolution DNS ;
  • D’avoir des connaissances de base dans l’installation et l’administration de Windows

 

Nouveautés de la Seconde Edition

Cette seconde édition du livre sur les services de domaines Active Directory comme la première édition est organisée afin de permettre à chaque lecteur de mettre en œuvre les différents éléments au fil de la lecture. Si le principe n’a pas changé, la deuxième édition présente les services de domaines sur Windows Server 2016 et a été enrichi d’exemples supplémentaires comme par exemple :

  • Déploiement d’applications par les stratégies de groupe
  • « Priviliged Access Management Feature » qui permet d’ajouter temporairement des personnes à des groupes de sécurité
  • Les contrôleurs de domaine en lecture seule (RODC) sont détaillés.

 

Dans cette nouvelle édition des commandes PowerShell sont proposées en plus de l’outil graphique. Les exemples sont simples et aucune compétence spécifique sur PowerShell n’est requise.
Le chapitre sur la sauvegarde a également été enrichi.
Cette édition présente également l’utilisation d’outil supplémentaire comme AD Replication Status Tool, un indispensable à l’analyse de l’état de santé d’une forêt AD.
Et surtout un chapitre dédié à la synchronisation des comptes (AAD Connect) avec Office 365 ou Azure Active Directory. Il décrit les différentes étapes, de la validation de vos noms de domaines publics sur le portail Microsoft, jusqu’à la configuration de la synchronisation et présente les options récemment ajoutées par Microsoft pour améliorer le ressenti utilisateur (Pass-Through Authentication, Seamless SSO).

 

A propos de l’Auteur 

Philippe BARTH est Expert Active Directory (toute version), avec une grande expérience sur le déploiement et les migrations.
Il est certifié Microsoft MCSA et reconnu Microsoft MVP (Most Valuable Professional) depuis 2014 entre autres dans la catégorie Directory Services.
Il participe activement aux communautés Microsoft dont le forum et la Gallerie Technet.

Philippe intervient également en tant que consultant sur les sujets/produits suivants :

  • Active Directory
  • Exchange Server
  • Skype For Business
  • System Center Configuration Manager
  • System Center Operation Manager

 

Enfin, vous pouvez :

 

Table des Matières

L’eBook est organisé en 9 Chapitres, voir la table des matières suivante pour en savoir plus :

Ce diaporama nécessite JavaScript.

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

Read & Enjoy :).

A propos de cet eBook

La sauvegarde et la restauration d’Active Directory sont des opérations particulières. Souvent un peu perdu au milieu de la stratégie de sauvegarde de l’entreprise, la sauvegarde AD répond à certaines règles particulières.

Un annuaire AD intègre est un ensemble cohérent de contrôleurs de domaine d’une même forêt qui possèdent des éléments communs et des objets particuliers pour chaque domaine de la forêt. La restauration Active Directory nécessite de conserver cette cohérence.

Comme sur d’autres produits, il existe différents niveaux de granularité entre la restauration complète de la forêt et la restauration d’un utilisateur ou d’une stratégie de groupe, la démarche n’est pas identique. La maîtrise de ces processus passe par la connaissance de son environnement et de certains principes.
A la fin de ce livre, vous serez capable de :

Planifier et mettre en œuvre la sauvegarde d’Active Directory Domain Services
Définir et utiliser les outils de restaurations d’objet Active Directory (Utilisateurs, Ordinateurs, …)
Décrire et utiliser les outils de sauvegarde et restauration des stratégies de groupe
D’expliquer le principe de restauration autoritaire Active Directory / Sysvol
De restaurer l’intégralité d’une forêt Active Directory dans un environnement multi domaines.

N’attendez plus, apprenez dès aujourd’hui, à planifier et créer un plan de reprise d’activité (PRA) de votre infrastructure Active Directory

Très bon eBook écrit par Philippe BARTH, MVP Directory Services

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

 

Un très bon article de Philippe BARTH [MVP Directory Services] sur le Sizing des DC (Domain Controller) pour une infrastructure Active Directory 2008, 2008 R2, 2012, 2012 R2 et 2016.

Ci-après un extrait

====================================================================

En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d’un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows Server 2012 R2, sans trop justifier cette valeur. Active Directory n’est pas un service très exigeant au niveau des performances en comparaison d’un serveur Exchange ou d’une base de données SQL Server.

Le premier point sur lequel je souhaite justement revenir est la mémoire. Il est recommandé pour des raisons de performances d’avoir suffisamment de mémoire pour conserver l’ensemble de l’annuaire dans la mémoire. A la création le fichier « NTDS.dit » à une taille inférieur à 50 Mo. Même si la taille de la base de données est variable en fonction du nombre d’utilisateurs, de groupe, si vous stocker des photos pour les utilisateurs etc…, vous verrez qu’un annuaire pour une société de moins de 300 personnes ne dépassera sans doute pas les 300Mo.

La quantité minimale de RAM devrait être supérieur à la somme de la taille de la base de données, la taille SYSVOL totale, le montant recommandé du système d’exploitation et les recommandations du fournisseur pour les agents (antivirus, surveillance, sauvegarde, etc.). Donc si on compte 1Go pour Windows 2012, 300Mo pour la base AD et 100 Mo pour le service DNS, dans une petite structure, 2 Go de mémoire peut être suffisant si le DC n’héberge pas d’autres rôles.
Dans une structure plus importante, par exemple avec une forêt multi-domaine, le rôle de catalogue global augmente la consommation de mémoire. De plus si vous installez des outils tiers comme System Center (client SCCM, agent SCOM) vous devrez peut-être prévoir un minimum de 3Go voir 4Go.

LIRE LA SUITE…

Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l’état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support.

« DCDiag » réalise par défaut le diagnostic du contrôleur de domaine sur lequel il est exécuté. Il est possible de vérifier l’ensemble des DCs d’un site avec « /a » ou de la forêt avec « /e ». Il est possible de n’enregistrer que les erreurs avec « /q » ou de générer un rapport avec « /f:fichier.txt ». L’option « /i » permet d’ignorer les avertissements sans gravité. Il est recommandé de faire un test DNS « /test : DNS » en plus. Voici les trois exemples de test possibles avec la création d’un rapport sur « C:\Temp » qui porte le nom du DC :

DCDiag /a /i /f:c:\temp\%Computername%Full.txt

DCDiag /a /i /q /f:c:\temp\%Computername%Erreur.txt

DCDiag /test:DNS /f:c:\temp\%Computername%DNS.txt

Dans le rapport créé par « dcdiag », chaque commande apparaît avec un résultat. Vous devez vérifier qu’il n’y a pas d’échec.

La commande « Repadmin » permet de vérifier l’état de la réplication de l’annuaire Active Directory mais ne détecte pas les erreurs de réplication de « SYSVOL ». Pour vérifier la réplication des partitions d’annuaire, utilisez la commande suivante :

Repadmin /showrepl

Il est important de vérifier que le vérificateur de cohérence de la  topologie de réplication (KCC) n’est pas désactivé pour le site. S’il est désactivé, vous verrez dans les options de site le texte  « IS_AUTO_TOPOLOGY_DISABLED »

Dans ce cas, vous devrez sans doute ajouter manuellement des liens de réplications pour les nouveaux DC. La commande pour réactiver le KCC est :

Repadmin /SiteOptions /site:Paris

-IS_AUTO_TOPOLOGY_DISABLED

La commande suivante permet d’avoir un rapport général sur la réplication et sur la latence. Dans notre laboratoire nous n’avons pour le moment que deux DCs sur deux sites avec  une réplication inter-sites configuré à 180 minutes et la latence n’est pas négligeable.

Repadmin /replsummary

Il existe un autre outil qui vous permet d’analyser les problèmes de réplication des différentes partitions. Il indique des liens vers les KB (Knowledge Base) Microsoft en cas d’erreur. Il s’agit d’Active Directory Replication Status Tool disponible en téléchargement gratuit à l’URL suivante :

https://www.microsoft.com/en-us/download/details.aspx?id=30005

L’observateur d’événement est également un outil permettant d’obtenir de nombreuses informations. Je vous recommande de consulter les journaux :

  • Système
  • Réplication DFS (si SYSVOL utilise DFS-R)
  • Serveur DNS
  • Service de réplication de fichier (si SYSVOL utilise NTFRS)
  • Service D’annuaire

===================================================================

Cet article est un extrait de l’eBook « Migrer son infrastructure Active Directory vers Windows Server 2012 et 2012 R2« , disponible sur BecomeITExpert.com

Connaitre son environnement

Lors de la migration d’un environnement Active Directory vous risquez de rencontrer des difficultés avec les éléments qui dépendent de votre annuaire. Citons par exemple Microsoft Exchange dont les services sont très dépendants du catalogue global. Ces difficultés sont liées en général à des oublis lors de la mise à niveau, surtout dans de grandes entreprises, où la personne en charge de la migration, n’a pas forcément conscience de l’ensemble des applicatifs s’appuyant sur l’AD. Afin de préparer au mieux votre déploiement, il est recommandé de réaliser un inventaire de votre environnement et des services qui en dépendent.

Documentez les éléments suivants :

  • Liste des domaines avec le niveau fonctionnel, les approbations de domaine ou de forêt.
  • Liste des contrôleurs de domaine avec les rôles (Serveur de fichiers et d’impression, DNS, DHCP, KMS,…) et les applications installées.
  • Lister les serveurs qui disposent du catalogue global, des rôles FSMO, serveurs tête de pont pour la réplication inter-sites.
  • Liste des serveurs DNS, liste des zones DNS, redirecteurs, redirecteurs conditionnels et zone de Stub.
  • Liste des sites, sous réseau et lien de site (performances, plage de disponibilités).
  • Liste des équipements qui utilisent l’annuaire LDAP (serveur Proxy Web avec authentification, serveur Radius, solution VPN, copieurs multifonctions).
  • Liste des applications utilisant l’authentification Active Directory ou exécutant des requêtes LDAP (inspecter les applications qui utilisent le compte et le mot de passe Windows comme information de connexion).

Il est recommandé d’utiliser les services DNS sur vos contrôleurs de domaine. Il est préférable d’utiliser des zones DNS intégrés à Active Directory et acceptant les mises à jour sécurisées. Les zones intégrées Active Directory bénéficient de la réplication multi-maître AD et sont donc toutes accessibles en écriture. Il n’est pas obligatoire que tous vos contrôleurs de domaines soient serveur DNS. Dans un environnement Multi-Site, si vous prévoyez d’installer un contrôleur de domaine afin de garantir la disponibilité du service, il est primordial d’assurer également la résolution de nom sur ce site. Dans une forêt Active Directory il existe une zone DNS propre à la forêt « _mstsc » et une zone pour chaque domaine de la forêt. Il est recommandé de répliquer la zone de la forêt sur tous les DCs de la forêt et la zone du domaine sur tous les DCs du domaine. Les problèmes DNS sont à l’origine de beaucoup de problèmes Active Directory.

Note importante : les applications suivantes sont fortement liées à l’AD (liste non exhaustive)

* Exchange Server

* Lync /Skype for Business

* System Center

* Services de synchronisation de profil SharePoint

Pour vous aider à préparer votre déploiement, vous pouvez utiliser les informations suivantes.
Vous pouvez consulter la liste des domaines de votre forêt depuis la console « Domaines et Approbations Active Directory» accessible via l’outil « Domain.msc ». Dans notre laboratoire la forêt comporte un domaine unique.

Vous pouvez utiliser la commande PowerShell suivante pour lister tous les domaines de la forêt :

Get-ADForest | Select Domains

Déterminer les catalogues globaux pour chaque domaine, depuis la console « Utilisateurs et Ordinateurs Active Directory », sur l’unité d’organisation « Domain Controllers » :

La commande PowerShell suivante permet de lister les DCs qui sont catalogues globaux :

Get-ADForest | Select GlobalCatalogs

Pour le niveau fonctionnel des domaines et de la forêt, utilisez la console « Domaines et approbations Active Directory ». Il suffit de faire un clic droit sur le nom du domaine ou sur « Domaines et approbations Active Directory », puis sélectionnez « Augmenter le niveau fonctionnel du domaine/de la forêt ».

Pour déterminer le niveau fonctionnel de la forêt avec PowerShell, utilisez la commande :
Get-ADForest | select Forestmode

Pour le niveau fonctionnel du domaine, utilisez la commande :
Get-ADDomain | select Domainmode

Vous trouverez la liste des zones DNS hébergées sur un contrôleur de domaine à partir de la console DNS (sauf si vos DCs ne font pas office de DNS Server).

Vous pouvez vérifier si la zone est intégrée à Active Directory dans les propriétés de la zone. Sur l’image ci-dessous, vous pourrez déterminer les paramètres de réplications de la zone. La flèche indique les options de mise à jour de la zone.

Si la zone DNS hébergée sur votre DC n’est pas intégrée à l’annuaire Active Directory, vous pouvez modifier le paramètre depuis cette page. Le changement en zone intégrée à l’AD n’impacte pas la production.

Vous trouverez également le détail des relations d’approbations en ouvrant les propriétés du domaine en question, sur la page « Approbations ».

Pour lister les rôles installés sur un serveur, utilisez la commande PowerShell suivante :

Import-Module ServerManager

Get-WindowsFeature | Where-Object {$_.Installed -eq « Installed »}

La console « Sites et Services Active Directory », vous permettra de faire le point sur la partie Sites, Réseaux et Lien de sites.

Pour déterminer si un contrôleur de domaines a été défini comme serveur tête de pont pour la réplication intersites, ouvrez les propriétés du serveur. Dans la page « Général », vous pourrez vérifier si le DC en question est serveur tête de pont.


Cet article est un extrait de l’eBook (Step-by-step guide) : Migrer son infrastructure Active Directory vers Windows Server 2012 et 2012 R2

 

 

S’applique à : Active Directory 2008, 2008 R2, 2012, 2012 R2 et 2016

Dans une infrastructure Active Directory répartie sur plusieurs sites, il arrive de devoir installer un Contrôleur de Domaine sur un site distant ne contenant aucun DC pour l’instant. L’installation nécessite la copie de l’annuaire à travers le réseau lors de l’exécution de l’assistant de configuration. Il est possible pour ce type situation, d’installer le contrôleur sur le site distant avec l’option « IFM : Install From Media ». Dans ce cas il faut préparer un support sur un Contrôleur de Domaine existant. Après l’installation, la réplication se fait à travers les liens réseaux.
Pour préparer le support d’installation il faut se connecter sur un Contrôleur de Domaine existant (un Contrôleur de Domaine en lecture seule ne peut servir de source), monter (connecter) ensuite un support amovible pour stocker les sources comme par exemple sur une clé USB avec la lettre E: (ou X:\ :)), une fois connecté, lancez l’Invite de Commande (CMD.exe) en tant qu’Administrateur et saisissez les commandes suivantes. Notez que dans l’exemple suivant, notre support de stockage amovible est monté avec la Lettre E:

NTDSUtil

Activate instance NTDS

ifm

Create SYSVOL full E:

Il vous faut ensuite attendre la création du support.

Sur votre site distant, déployez votre futur DC Windows Server (physique ou virtuel), installez y les services AD DS et lancez l’assistant pour promouvoir le contrôleur de domaine.

Lors de l’exécution de l’assistant de configuration, cochez la case « Installation à partir du support »  et spécifiez l’emplacement contenant la copie de l’annuaire AD générée lors de l’exécution des commandes ci-dessus (lettre correspondant à votre support de stockage amovible utilisé précédemment, E: dans notre cas) :

ifm_1

 

Cet article est un extrait de l’eBook de référence « Active Directory 2012 R2 – Design et déploiement en Entreprise [Guide du Consultant] »