Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière.
Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.
Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.
ADMT permet également de migrer des ordinateurs vers le nouveau domaine. Vous me direz sans doute que vous pouvez sortir l’ordinateur de l’ancien domaine pour l’intégrer dans le nouveau.
Dans ce cas-là un certain nombre d’éléments ne seront pas repris. Par exemple si votre ordinateur contient des partages de Fichier, ADMT va automatiquement remplacer les permissions NTFS (ACL) par les SID des objets du nouveau domaine. De même les profils sont migrés par ADMT.
Afin de pouvoir migrer les mots de passe lors de la migration ADMT, il nous faut installer un outil sur le contrôleur de domaine de l’ancien domaine permettant d’exporter de manière sécurisé les mots de passe et de les transmettre à l’outil ADMT. Pour protéger ces communications il est nécessaire de créer une clé sur le serveur ADMT destinataire de l’information et de réutiliser cette clé sur le serveur source où nous installerons PES.
Pour cela nous ouvrons une « invite de commande » en mode administrateur sur le serveur ADMT.
Il arrive que l’on rencontre des situations où il est nécessaire de revoir l’ensemble de l’organisation. C’est le cas par exemple lors de la fusion ou de la scission d’une entreprise. Il s’agit d’une opération de migration des objets Active Directory d’un domaine vers un autre.
L’outil de migration Active Directory Migration Tool permet d’effectuer cette opération.
Dans cet article nous verrons comment déployer un contrôleur de domaine sur un site distant, avec une bande passante faible en créant un support d’installation pour l’Annuaire AD évitant la copie de l’annuaire par le réseau lors de la promotion du DC.
Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.
Si l’apparence a pas mal évolué, le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.
Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :
Nous allons utiliser la console « Gestionnaire de serveur » sur Windows 2012 pour installer d’abord le « Rôle Active Directory Domain Services », puis nous allons configurer le serveur « Active Directory ».
Il faut commencer par configurer une adresse IP Fixe.
Dans le « gestionnaire de serveur », sélectionner le serveur et cliquer sur « Ajouter des rôles et des fonctionnalités ».
Dans ce petit tutoriel nous allons voir comment utiliser W32Time pour synchroniser les horloges dans un domaine AD.
Le premier élément à prendre en compte est que dans un domaine Active Directory, les postes se synchronisent normalement tout seul avec un contrôleur de domaine. Les contrôleurs de domaine se synchronisent vers le DC qui dispose du rôle de maître d'opération "Emulateur PDC". Il y en a un par domaine.
Dans une forêt multi domaine chaque "Emulateur PDC" se synchronise automatiquement par rapport au domaine racine de la forêt.
Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.
La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.
Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :
Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :
- Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture
- Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.
L’outil de sauvegarde existe en version graphique et en ligne de commande.
L'outil WBadmin n'est pas installé par défaut et il se trouve dans la partie "ajout de fonctionnalité". Il est possible d'installer l'outil en ligne de commande ou graphique ou les 2. Nous vérons dans cet exemple la version ligne de commande et l'automatisation.
Il est possible de faire une sauvegarde directement en ligne de commande ou en insérant la commande suivante dans un script :
Avant d''effectuer une promotion en tant que contrôleur de domaine Active Directory, il est nécessaire d''installer le rôle "Domain Services".
A noter qu''il n''est pas possible d''installer le rôle serveur DNS en même temps que ce rôle. Le rôle DNS s''installera automatiquement lors du Dcpromo.
Je souhaitais consacrer un article sur l’utilisation des suffixes UPN dans Active Directory. Commençons par expliquer ce qu’est un UPN.
L’UPN ou User Principal Name est l’identifiant par défaut pour l’ouverture de session Active Directory. Son format ressemble à une adresse email avec la présence du caractère « @ ». Par exemple Paul sur le domaine « mondomaine.lan » possède un identifiant « paul@mondomaine.lan » :
Quelques éléments de base pour la maintenance Active Directory .
Surveiller la réplication de l’annuaire AD
- Repadmin : il est inclut dans les binaires du rôle de AD Domain Services depuis 2008. Dans les versions précédentes il fallait l’installer à partir des outils de support .
o Serveur DNS : Il est recommandé d’utiliser des zones DNS intégrés AD, n’acceptant que des mises à jour sécurisées. Il est aussi recommandé d’activer le nettoyage des zones DNS. Celui-ci n’est pas activé par défaut.
Une forêt Active Directory peut être composée d’un ou plusieurs domaines. Par défaut la partition de domaine ne contient que les objets du domaine. Le contrôleur de domaine ne peut localiser les objets des autres domaines.
Et pourtant, des utilisateurs d’un domaine peuvent appartenir à des groupes d’autres domaines. Ils peuvent également selon leur autorisation d’accès ouvrir une session sur un poste situé dans un autre domaine.
Une zone DNS ne doit exister qu’une fois, même si elle est hébergée sur plusieurs serveurs. Elle peut être hébergée sur un serveur maître avec transfert de zone vers des serveurs secondaires. Lorsqu'elle est stockée dans Active Directory elle bénéficie de la réplication multi-maître et la zone principale est stockée sur l'ensemble des DC.
Dans ces cas il s'agit toujours de la même zone, contenant les mêmes enregistrements et qui est répliqué.
