Active directory_Volume2

5/17/2018 Active directory_Volume2 - slidepdf.com

http://slidepdf.com/reader/full/active-directoryvolume2 1/447

P R O D U I T O F F I C I E L D E F O R M A T I O N M I C R O S O F T

6238BConfiguration et résolution desproblèmes des services dedomaine Active Directory® Windows Server® 2008

Volume 2

N'oubliez pas d'accéder au contenu de formation supplémentaire du

CD-ROM d'accompagnement du cours qui se trouve au dos de votre

livre.



Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 xv

Table des matières

Module 10 : Configuration du système DNS

Leçon 1 : Concepts, composants et processus DNS 10-4

Leçon 2 : Installation et configuration d'un serveur DNS dans un

domaine AD DS 10-26

Atelier pratique A : Installation du service DNS 10-39

Leçon 3 : AD DS, DNS et Windows 10-44

Leçon 4 : Configuration et administration avancées du système DNS 10-69

Atelier pratique B : Configuration avancée du système DNS 10-83

Module 11 : Administration des contrôleurs de domaine des services de

domaine Active Directory® (AD DS)

Leçon 1 : Options d'installation des contrôleurs de domaine 11-4

Atelier pratique A : Installation des contrôleurs de domaine 11-33

Leçon 2 : Installation d'un contrôleur de domaine Server Core 11-41

Atelier pratique B : Installation d'un contrôleur de domaine Server Core 11-50

Leçon 3 : Gestion des maîtres d'opérations 11-55

Atelier pratique C : Transfert des rôles Maîtres d’opérations 11-74

Leçon 4 : Configuration de la réplication FS-R de SYSVOL 11-79

Atelier pratique D : Configuration de la réplication DFSR du dossierSYSVOL 11-87

Module 12 : Gestion des sites et de la réplication Active Directory

Leçon 1 : Configuration des sites et des sous-réseaux 12-4

Atelier pratique A : Configuration des sites et des sous-réseaux 12-23

Leçon 2 : Configuration des partitions d'application et du catalogue

global 12-27

Atelier pratique B : Configuration des partitions d'application et du

catalogue global 12-42Leçon 3 : Configuration de la réplication 12-48

Atelier pratique C : Configuration de la réplication 12-75



xvi Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Module 13 : Continuité du service d'annuaire

Leçon 1 : Surveillance d'Active Directory 13-4

Atelier pratique A : Surveillance des événements et des performances

d'Active Directory 13-29Leçon 2 : Gestion de la base de données Active Directory 13-48

Atelier pratique B : Gestion de la base de données Active Directory 13-66

Leçon 3 : Sauvegarde et restauration des services AD DS et des

contrôleurs de domaine 13-74

Atelier pratique C : Sauvegarde et restauration d'Active Directory 13-89

Module 14 : Gestion de plusieurs domaines et forêts

Leçon 1 : Configuration des niveaux fonctionnels des domaines et

des forêts 14-4Atelier pratique A : Augmenter les niveaux fonctionnels des domaines

et des forêts 14-16

Leçon 2 : Gestion de plusieurs domaines et des relations d'approbation 14-23

Atelier pratique B : Administration d'une relation d'approbation 14-70



Configuration du système DNS 10-1

Module 10Configuration du système DNS

Table des matières :Leçon 1 : Concepts, composants et processus DNS 10-4

Leçon 2 : Installation et configuration d'un serveur DNS dans undomaine AD DS 10-26

Atelier pratique A : Installation du service DNS 10-39

Leçon 3 : AD DS, DNS et Windows 10-44

Leçon 4 : Configuration et administration avancées du système DNS 10-69

Atelier pratique B : Configuration avancée du système DNS 10-83



10-2 Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008

Vue d'ensemble du module

Windows® et les services Active Directory® dépendent fortement du système DNS(Domain Name System, ou Système de nom de domaine). Vous êtes très

certainement familiarisé avec le système DNS car vous l'utilisez déjà en tantqu'informaticien qui assiste les utilisateurs, les applications, les services et lessystèmes qui en dépendent. Dans ce module, vous allez découvrir commentimplémenter DNS pour prendre en charge la résolution des noms au sein de votredomaine Active Directory Domain Services (AD DS) et hors de votre domaine et devotre réseau intranet.

Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• comprendre la structure, les rôles et le fonctionnement du système DNS ;

• décrire les processus de résolution des noms de client et de serveur ;

• installer le service DNS ;

• gérer les enregistrements DNS ;




• configurer les paramètres du serveur DNS ;

• comprendre l'intégration entre AD DS et DNS ;

• choisir un domaine DNS pour un domaine Active Directory ;

• créer une délégation de zone pour un nouveau domaine Active Directory ;• configurer la réplication pour des zones intégrées à Active Directory ;

• décrire l'objectif des enregistrements Service Locator (SRV) dans le processusde localisation des contrôleurs de domaine ;

• comprendre le fonctionnement des serveurs DNS en lecture seule ;

• comprendre et configurer la résolution des noms en une partie ;

• configurer les paramètres avancés du serveur DNS ;

• auditer, gérer et dépanner le rôle de serveur DNS.




Leçon 1

Concepts, composants et processus DNS

Le système DNS est un composant indispensable et sensible pour une entreprise Windows. Dans cette leçon, vous allez revoir le rôle, la structure et le

fonctionnement du système DNS. Vous allez également examiner de manièreapprofondie les processus utilisés pour résoudre les requêtes DNS. Bien que laplupart de ces informations puissent vous sembler familières, cette leçon permettrade s'assurer que vous connaissez parfaitement les concepts et la terminologie dusystème DNS.

Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• comprendre la structure, les rôles et le fonctionnement du système DNS ;

• décrire les processus de résolution des noms de client et de serveur ;




Pourquoi utiliser le système DNS ?

Points clésDNS sert à répondre aux requêtes des clients qui demandent des informations surles services et les systèmes distants. La plupart du temps, DNS sert à répondre à un

client qui demande l'adresse d'un certain nom DNS.

Les utilisateurs, et donc les applications, ont tendance à préférer employer desnoms pour faire référence à des systèmes. Les ordinateurs, pour leur part, selocalisent mutuellement par leurs adresses IP. Le système DNS sert à convertir ou« résoudre » les noms en adresses. Par exemple, si un utilisateur affichehttp://technet.microsoft.com dans son navigateur, le nom technet.microsoft.com doitêtre converti pour obtenir l'adresse IP du serveur Web concerné. Le client interrogeson serveur DNS et, suite à une série de processus qui seront expliqués tout aulong de cette leçon, le serveur DNS renvoie l'adresse IP du serveur Web :207.46.16.252.




Hiérarchie du système DNS

Points clésLes noms utilisés dans le système DNS créent une hiérarchie, depuis une racine eten passant à travers une série d'espaces de noms appelés domaines pour atteindre

un enregistrement individuel conduisant à un service ou un système (hôte). Pourles êtres humains, un nom tel que technet.microsoft.com se lit de gauche à droite, desa partie la plus spécifique (le nom de l'hôte individuel), technet, jusqu'à sa partie laplus générique, com. Le nom peut être résolu en partant de la racine de l'espace denoms DNS jusqu'à la partie générique, le domaine du niveau supérieur (com), jusqu'au domaine plus générique (microsoft) pour arriver au nom d'hôte le plusspécifique (technet).

Les domaines du niveau supérieur (Top-level domains ou TLD) tels que .com sontréglementés de manière très stricte par les autorités qui régissent le réseau Internet.Il existe un nombre limité de TLD, dont .com, .net, .org , .gov, .mil et .edu. Chaque

pays possède également son propre TLD respectant sur les normes ISO, parexemple .us, .ca, .uk, .fr et .za.




Au-dessus de chacun de ces TLD se trouve la racine de l'espace de noms DNS, quiest représentée par un point (« . »). Le point représentant la racine estgénéralement ignoré dans les noms DNS. Cependant, il est intéressant de savoirque le nom technet.microsoft.com pourrait être représenté plus précisément par

technet.microsoft.com., avec son point final.




Zones

Points clésPour qu'un serveur DNS puisse résoudre les requêtes des clients, par exemple enrenvoyant l'adresse IP d'un autre ordinateur, ce serveur DNS doit posséder unebase de données. Cette base de données est appelée zone. Une zone est une basede données qui prend en charge la résolution d'une certaine partie de l'espace denoms DNS, en commençant par un domaine spécifique tel que contoso.com.

Un serveur qui héberge une zone pour un domaine est qualifié de serveur faisantautorité pour ce domaine.




Enregistrements de ressource

Points clés Au sein d'une zone (la base de données DNS) se trouvent des enregistrementsappelés Enregistrements de ressource ou RR (Resource Records).

Il existe plusieurs types d'enregistrements de ressource, notamment :

• Enregistrements d'adresse (A ou AAAA) (également appelés Hôte) : cesenregistrements résolvent un nom en adresse IP. Ils sont utilisés dans larequête DNS standard que vous associez au système DNS. Les enregistrements A convertissent un nom en adresse IPv4. Les enregistrements AAAA convertissent un nom en adresse IPv6.

• Les enregistrements à nom canonique (CNAME) (également appelés Alias) : ces enregistrements font correspondre un alias avec un autre nom complet. Lesenregistrements d'alias vous permettent d'associer plusieurs noms à un seul

serveur. Ils vous évitent de devoir mettre à jour manuellement chaqueenregistrement lorsque l'adresse IP du serveur change. Il vous suffit de modifierl'enregistrement A du serveur, et tous les enregistrements CNAME (faisant référenceau serveur par son nom et non son adresse) continueront de fonctionner.




• Enregistrements de serveur de messagerie (MX) : l'enregistrement MXcontient le nom du serveur de messagerie d'un domaine. Vous pouvezconsidérer l'enregistrement MX comme un type d'alias, mais l'alias est toujoursappelé MX. Ainsi, quelle que soit la langue ou la convention d'appellation

utilisée par un domaine, son serveur de messagerie peut toujours être localisépar une requête de MX.domain.

• Enregistrements du Service de nom (NS) : ces enregistrements pointent versles serveurs DNS faisant autorité pour un domaine.




Gestion des enregistrements de ressource

Points clésLes enregistrements des ressources d'une zone peuvent être créés et gérésmanuellement par un administrateur.

Sinon, des mises à jour dynamiques peuvent être activées, au travers des systèmescapables d'inscrire leurs propres enregistrements DNS.

Si une zone est configurée pour les mises à jour dynamiques, il existe un risque decréation d'enregistrements non autorisés. Par exemple, un individu peut créer unenregistrement appelé www et pointant vers un serveur autre que le serveur Webapproprié pour un domaine. Il est alors question d'usurpation.

Pour réduire les risques d'usurpation, le système DNS de Windows Server prenden charge les mises à jour dynamiques sécurisées. Pour pouvoir actualiser la zoneDNS, les clients doivent s'authentifier auprès du domaine et ne peuvent mettre à

jour que leurs propres enregistrements DNS.




Réplication d'une zone

Points clésLa base de données DNS, ou zone, est un composant important de touteinfrastructure réseau. Comme tous les autres services sensibles, chaqueorganisation doit s'efforcer de posséder deux serveurs DNS disponibles pour sesclients afin de bénéficier de la redondance.

La base de données DNS peut être stockée et répliquée dans plusieurs serveursDNS de l'une des deux manières suivantes :

• Comme les autres implémentations DNS traditionnelles, les serveurs DNS Windows peuvent stocker une zone dans un fichier. Un seul serveur DNS peutécrire dans la zone : celui qui héberge la zone principale. Les autres serveursDNS copient la zone et en créent une copie en lecture seule appelée zonesecondaire. Le processus de copie de la zone est appelé transfert de zone. Toutserveur DNS hébergeant une zone secondaire a besoin d'autorisations pouraccéder au serveur à partir duquel il copie la zone.




• Lorsque des zones DNS sont hébergées par des contrôleurs de domaine, vousavez la possibilité de stocker leur contenu dans Active Directory lui-même, cequi crée une zone intégrée à Active Directory. Les données de zone sontrépliquées avec la même méthode multiples maîtres que les autres données

Active Directory. Ceci s'avère particulièrement important lorsque les mises à jour dynamiques sont activées. En effet, les clients inscriront leursenregistrements avec leur principal serveur DNS, qui est interne à leur site.Toute zone peut également être répliquée de manière incrémentielle : seuls lesenregistrements qui ont été modifiés sont répliqués. Cette méthode estnettement plus efficace que le transfert de zone traditionnel de la totalité dufichier.




Sous-domaines

Points clésComme nous l'avons mentionné précédemment, toute zone prend en charge larésolution d'une partie spécifique de l'espace de noms DNS, commençant par undomaine tel que contoso.com. Vous pouvez créer des sous-domaines dans unepartie de l'espace de noms DNS pour laquelle vous faites autorité. Par exemple, sivous gérez l'espace de noms contoso.com, vous pouvez créer un sous-domaineappelé europe.contoso.com.

Il existe trois options pour créer un sous-domaine tel que europe.contoso.com :

• Sous-domaine : une zone démarre au niveau d'un domaine et peut contenirun ou plusieurs sous-domaines. Si une zone contient un sous-domaine, ellecomprend tous les enregistrements nécessaires pour la résolution de ce sous-domaine,et le serveur DNS fait autorité pour ce sous-domaine.




• Délégation : une délégation est un « lien » vers un sous-domaine, créé par unou plusieurs enregistrements NS pointant vers un ou plusieurs serveurs denoms faisant autorité pour ce sous-domaine. Tout enregistrement NS pointevers un nom ou une adresse IP du serveur de noms d'un sous-domaine. Si

l'enregistrement NS pointe vers un nom, il doit également y avoir unenregistrement hôte (A) pour le serveur du domaine parent. Lesenregistrements NS sont générés lorsque vous créez la délégation. Cependant,si vous devez changer les adresses IP ou les noms des serveurs de l'espace denoms, vous devez mettre les enregistrements NS à jour manuellement.

• Zone de stub : une zone de stub est très similaire à une délégation.Cependant, les enregistrements NS qui pointent vers le serveur de noms sontmis à jour automatiquement dans la zone parente. Cela semble idéal pourgérer les sous-domaines hébergés dans des serveurs DNS distincts, et les zonesde stub conviennent parfaitement dans de nombreux environnements.Toutefois, la mise à jour automatique des enregistrements NS exige que le port

TCP 53 soit ouvert entre les serveurs de noms hôtes (parents) et tous les serveurs denoms du domaine enfant. Si l'ouverture du port TCP 53 est impossible, vousdevez la remplacer par une délégation standard.




Placement des serveurs et des zones DNS

Points clésDans tout environnement contenant plusieurs domaines, vous pouvez décider deplacer des zones et des serveurs DNS de manière à optimiser la résolution desnoms pour les clients, le trafic de réplication et la surcharge administrative.




À gauche de l'illustration, il est possible de voir que la zone parente possède unedélégation ou un domaine de stub qui pointe vers les serveurs de noms dudomaine enfant. Les demandes d'enregistrements du domaine enfant sont résoluespar le serveur DNS qui fait autorité pour ce domaine enfant. Les serveurs de nomspeuvent se trouver en Europe afin de prendre en charge les requêtes des clientspour les serveurs et les services basés en Europe.

À droite de l'illustration, il est possible de voir que les serveurs DNS hébergent uneseule zone qui comprend un sous-domaine pour le domaine enfant. Cette structureaugmente le trafic de réplication entre les deux serveurs DNS. Cependant, quel que

soit leur emplacement, les clients sont capables de résoudre les noms de tous lesdomaines à partir du serveur DNS qui fait autorité pour leur emplacementgéographique.




Client DNS (Solveur)

Points clésMaintenant que vous savez comment l'espace des noms DNS est hébergé dans leszones des serveurs DNS et comment les domaines enfants sont pris en charge

grâce à des délégations, des sous-domaines ou des zones de stub, vous êtes prêt àexaminer en détail la manière dont un nom est résolu ou converti en adresse IP.

Lorsqu'une application cliente, telle que Microsoft® Internet Explorer®, doit seconnecter à un hôte comme technet.microsoft.com, elle appelle l'APIGetAddrInfo(), qui transmet le nom de l'hôte au service Client DNS.

Le service Client DNS commence par vérifier le cache de résolution DNS (base dedonnées locale et gérée dynamiquement au niveau du client) pour savoir si ce noma déjà été résolu précédemment. Le cache de résolution DNS est préchargé avec lecontenu du fichier HOSTS (%systemroot%\system32\drivers\etc\hosts) lorsquele cache est initialisé durant le démarrage du Client DNS et lorsque le fichier

HOSTS est modifié. Dès qu'un nom est résolu avec succès, il est ajouté au cache derésolution DNS. Ainsi, la capacité du client DNS à résoudre les noms localementaugmente avec le temps.




Chaque enregistrement de ressource (RR) contient une valeur de durée de vie(TTL, time-to-live) qui détermine pendant combien de temps l'enregistrement vademeurer dans le cache. Lorsque sa valeur TTL est atteinte, l'enregistrement estretiré du cache.

Vous pouvez utiliser la commande ipconfig /displaydns pour examiner le contenudu cache de résolution DNS local, et la commande ipconfig /flushdns pour vider lecache et le recharger avec le contenu du fichier HOSTS.

Il est important de savoir que, si un client interroge un serveur DNS pour obtenirun enregistrement de l'hôte et que le serveur DNS renvoie une réponse négative,qui indique que l'enregistrement est introuvable, cette réponse négative estégalement mise en cache. Si vous créez un enregistrement hôte au niveau duserveur DNS et que vous réitérez la requête, le client échouera car il continue àrécupérer cette réponse négative dans son cache jusqu'à ce qu'elle en soitsupprimée. Dans ce cas, la commande ipconfig /flushdns peut servir à forcer le

client à réinterroger le serveur DNS. Vous pouvez utiliser la commande nslookup.exe pour interroger directement unserveur DNS, en contournant le cache de résolution DNS.




Requête envoyée à un serveur DNS

Points clésSi le service client DNS ne parvient pas à résoudre la requête à l'aide du cache derésolution DNS, il interroge le serveur DNS principal. La requête spécifie le type de

l'enregistrement demandé (par exemple, une adresse, un hôte ou unenregistrement A) et le nom de l'enregistrement demandé (par exemple,technet.microsoft.com).

La requête envoyée au serveur DNS spécifie également si le client présente unerequête itérative ou récursive. Les requêtes récursives sont les plus courantes. Ellessont envoyées par un client Windows à son serveur DNS. Les requêtes récursivesdemandent au serveur DNS de renvoyer une réponse définitive. Lorsqu'un serveurDNS reçoit une requête récursive, il interroge à son tour d'autres serveurs DNS àl'aide d'un processus qui sera décrit dans la prochaine section, jusqu'à ce qu'il soiten mesure de résoudre la requête de son client. Si le serveur DNS est incapable de

résoudre la requête de son client, il renvoie une réponse négative, indiquant que lesystème de noms de domaine n'a aucun enregistrement correspondant à cetterequête.




Si le serveur DNS principal renvoie une réponse négative, indiquant que ce nom nepeut pas être résolu, le client DNS n'interroge pas le serveur DNS secondaire. Lesautres serveurs DNS ne sont interrogés que si le serveur DNS principal n'est pasdisponible. C'est pourquoi il est important de s'assurer que chaque serveur DNS soit

en mesure de résoudre toutes les requêtes de tous les clients qui lui envoient des requêtes.Les clients ont la possibilité d'envoyer une requête itérative. Le serveur DNS tentealors de résoudre la requête localement, à l'aide des processus qui seront décritsdans la prochaine section, et renvoie une résolution (le cas échéant) ou renvoie lesinformations les plus utiles dont il dispose.




Résolution par le serveur DNS

Points clésDès qu'il reçoit une requête d'un client, le serveur DNS commence par vérifier leszones hébergées localement. S'il y trouve une résolution, il la renvoie au client sous

forme de réponse faisant autorité.

S'il n'y trouve aucune réponse, il vérifie alors ses Recherches mises en cache. À l'instardu client DNS, le serveur DNS construit un cache contenant les enregistrementsdes ressources déjà résolues. Ce cache est initialisé au démarrage du serveur et estalimenté par les enregistrements de ressource (RR) au fur et à mesure de leurrésolution par les autres serveurs DNS. Chaque enregistrement est purgé dès quesa durée TTL est atteinte.

Si une résolution est découverte dans le cache, elle est renvoyée sous forme deréponse positive.




Si aucune résolution n'est détectée et que le client a envoyé une requête itérative, leserveur DNS fait de son mieux et renvoie les informations les plus pertinentes dontil dispose. Par exemple, le serveur DNS n'a peut-être pas d'enregistrement RR misen cache pour l'hôte demandé par le client, mais il peut en avoir un pour le serveur

de noms du domaine parent de cet hôte. Dans le pire des cas, le serveur DNS peutindiquer au client de se référer à la liste des serveurs de noms de la racine : c'est-à-dire les serveurs DNS qui hébergent la racine (".") de l'espace de noms DNS. Leclient accepte toute information renvoyée par le serveur DNS dans le cadre d'unerequête itérative et exploite ces informations pour continuer à s'efforcer derésoudre le nom demandé.

Si le client a demandé une requête récursive, le serveur DNS poursuit son travailavec les processus décrits dans la prochaine section.




Récursivité

Points clésSi le client a demandé une requête récursive, le serveur DNS poursuit son traitementde la requête pour tenter de la résoudre. En réalité, le serveur DNS transmet la

requête par proxy de la part du client. Il est alors question de récursivité.

Dans l'exemple de récursivité le plus extrême, le serveur DNS vient de démarrer etson cache est vide. Il ne dispose d'aucun enregistrement NS mis en cache pour lesserveurs de noms microsoft.com ou même .com.

Dans ce cas, le serveur DNS commence par interroger les serveurs DNS de laracine. Le serveur DNS possède la liste de ces serveurs de racine dans ses« indications de racine ». Il envoie alors au serveur DNS racine une requête itérativepour demander technet.microsoft.com.

Les serveurs DNS de la racine ne peuvent pas résoudre technet.microsoft.com.

Cependant, ils possèdent dans leur zone les enregistrements NS des serveurs denoms du domaine .com. Ils renvoient alors ces informations en tant que référence. Voici un bon exemple de requête itérative : le serveur DNS racine renvoie sameilleure estimation et le client (dans ce cas, un serveur DNS) continue le processus.




Ensuite, le serveur DNS envoie une autre requête itérative au serveur de noms dudomaine .com. Là encore, le serveur ne parvient pas à résoudretechnet.microsoft.com, mais il peut fournir des enregistrements NS pourmicrosoft.com comme référence.

Grâce à cette référence, le serveur DNS interroge le serveur de noms du domainemicrosoft.com. Ce serveur DNS fait autorité (il héberge une zone) oumicrosoft.com, et il est en mesure de renvoyer une correspondance exacte pourl'enregistrement de l'hôte technet.microsoft.com.

Le serveur DNS met cette résolution en cache et la renvoie au client sous forme deréponse positive.




Leçon 2

Installation et configuration d'un système DNSdans un domaine AD DS

Maintenant que vous avez révisé les concepts, la terminologie et les processus dusystème DNS et de la résolution des noms, vous êtes prêt à installer et configurer lerôle de serveur DNS dans un domaine AD DS.


• installer le service DNS ;

• ajouter des zones DNS ;

• gérer les enregistrements DNS ;

• configurer les paramètres du serveur DNS ;• configurer les paramètres du client DNS.




Installation et gestion du rôle de serveur DNS

Points clésLe rôle de serveur DNS n'est pas installé par défaut dans Windows Server 2008.

Comme d'autres fonctionnalités, il est ajouté lorsqu'un serveur est configuré pourtenir ce rôle.

Vous pouvez installer le rôle de serveur DNS à l'aide du lien Ajouter un rôle quiapparaît dans le Gestionnaire de serveur.

Le rôle de serveur DNS peut également être ajouté automatiquement par l'AssistantInstallation des services de domaine Active Directory (dcpromo.exe). Dans cet Assistant, la page relative aux options du contrôleur de domaine vous permetd'ajouter le rôle de serveur DNS.

Lorsque le rôle de serveur DNS sera installé, vous disposerez du composant logicielenfichable DNS Manager pour l'ajouter à vos consoles administratives. Ce

composant logiciel enfichable est également ajouté automatiquement aux consolesServer Manager et DNS Manager (dnsmgmt.msc). Pour administrer un serveur DNSdistant, ajoutez les outils Remote Server Administrative à votre station de travailadministrative fonctionnant sous Windows Vista® SP1 ou une version plus récente.




L'outil administratif de ligne de commande dnscmd.exe est également ajouté.DNSCmd peut servir à créer des scripts et à automatiser la configuration dusystème DNS. Pour obtenir de l'aide, tapez dnscmd.exe /? à l'invite de commande.




Création d'une zone

Points clés Après l'installation d'un serveur DNS, vous pouvez commencer à lui ajouter deszones.

Pour créer une zone, cliquez du bouton droit sur le nœud Zones de recherche directe dans l'arborescence de la console et choisissez Nouvelle zone. L'Assistant Nouvellezone vous guide tout au long de la procédure de création d'une zone.

Vous pourrez choisir parmi les trois types de zones :

• Zone principale : le serveur DNS pourra écrire dans cette zone.

• Zone secondaire : le serveur DNS assurera la maintenance d'une copie d'unezone hébergée par un autre serveur DNS. La zone secondaire est en lectureseule.

• Zone de stub : le serveur DNS assurera la maintenance de la liste des serveursde noms d'un autre domaine. Les zones de stub sont traités en détail plus loindans ce module.




Vous pouvez également choisir de stocker les données de la zone dans ActiveDirectory si le serveur DNS est un contrôleur de domaine. Cela crée une zoneintégrée à Active Directory, sujet qui sera traité ultérieurement dans ce module. Sivous désactivez cette option, les données de la zone seront stockées dans un fichier

et non dans Active Directory. Après avoir choisi le type de votre zone, vous êtes invité à saisir son nom ou nomcomplet du domaine de la zone.

S'il s'agit d'une zone principale, vous pouvez choisir le mode de gestion des mises à jour, comme décrit à la prochaine section.




Création d'une zone avec mise à jour dynamique

Points clésLorsque vous créez une zone, vous êtes invité à spécifier si les mises à jourdynamiques sont prises en charge. Les mises à jour dynamiques réduisent la

charge de gestion d'une zone. En effet, les clients peuvent ajouter, supprimer etmettre à jour leurs propres enregistrements de ressource.

Les mises à jour dynamiques laissent la porte ouverte aux risques d'usurpation desenregistrements de ressource. Par exemple, un ordinateur peut inscrire unenregistrement appelé www et rediriger efficacement le trafic de votre serveur Webvers une adresse incorrecte.

Pour éliminer les risques d'usurpation, le service de serveur DNS de WindowsServer 2008 prend en charge les mises à jour dynamiques sécurisées. Tout clientdoit s'authentifier avant de mettre ses enregistrements de ressource à jour. Ainsi, leserveur DNS sait si le client est un ordinateur autorisé à modifier les

enregistrements de ressource.




Création d'enregistrements de ressource

Points clésDans la plupart des environnements, le besoin d'ajouter des enregistrements deressource à une zone se présentera souvent, même si les mises à jour dynamiques

sont activées.

Pour créer un enregistrement de ressource, cliquez du bouton droit sur la zoneconcernée et choisissez le type d'enregistrement à créer. La boîte de dialogue quiapparaît contient les contrôles de saisie appropriés au type d'enregistrement quevous ajoutez.




Configuration de serveurs DNS redondants

Points clésToute entreprise doit s'efforcer d'obtenir une zone qui puisse être résolue demanière faisant autorité par au moins deux serveurs DNS.

Si votre zone est intégrée à Active Directory, il vous suffit d'ajouter le rôle de serveur DNS à un autre contrôleur de domaine du même domaine comme premier serveurDNS. Les zones intégrées à Active Directory et la réplication de la zone DNS par AD DS sont décrites dans la prochaine leçon.

Si votre zone n'est pas intégrée à Active Directory, vous devez ajouter un autreserveur DNS et le configurer pour qu'il héberge une zone secondaire. N'oubliez pasqu'une zone secondaire est une copie en lecture seule de la zone principale.

La première étape de ce processus consiste à configurer la zone elle-même de sortequ'elle fasse référence aux serveurs secondaires en tant que serveurs de noms de

votre zone. Ajoutez les enregistrements NS des serveurs secondaires à la zoneparente.




Un serveur secondaire va copier la zone à partir d'un autre serveur DNS, appelé leserveur maître. Le serveur maître n'a pas besoin d'être le serveur principal.Cependant, utiliser la zone principale comme serveur maître présente desavantages évidents. En effet, cela réduit la latence de réplication des mises à jour

des enregistrements dans les serveurs secondaires.Le serveur maître doit autoriser les serveurs secondaires à se connecter et àdéclencher un transfert de zone. Vous configurez cela dans l'onglet Transferts dezone des propriétés de la zone au niveau du serveur maître, comme suit :

Vous pouvez ajouter la zone secondaire aux zones de recherche directe du serveursecondaire. Le serveur secondaire est configuré pour répliquer la zone à partir duserveur maître.




Configuration des redirecteurs

Points clésDans la leçon 1, vous avez appris qu'un serveur DNS tente de résoudre la requêted'un client à l'aide de ses zones locales et de son cache. S'il n'y parvient pas et que

la requête envoyée est récursive, le serveur DNS exécute alors la requête de la partdu client.

La première méthode pour configurer un serveur DNS de sorte qu'il exécuteefficacement une requête récursive consiste à lui ajouter des redirecteurs. Lesredirecteurs sont des pointeurs vers d'autres serveurs DNS. En général, cesserveurs sont hébergés par votre opérateur Internet (ISP) ou il s'agit de serveursDNS placés en amont dans l'infrastructure DNS de votre entreprise. Par exemple,votre domaine Active Directory peut utiliser le service Windows DNS Server pourrésoudre les noms au sein de ce domaine, puis transmettre les requêtes à vosserveurs DNS, qui hébergent les zones des autres domaines de l'entreprise.

Les redirecteurs sont similaires aux serveurs DNS que vous configurez dans lespropriétés IP d'une connexion réseau. Cette liste de serveurs DNS est utilisée par leservice Client DNS. Elle n'est pas communiquée au service Serveur DNS. Lesredirecteurs ont le même objectif que le service Serveur DNS.




Si aucun redirecteur n'est configuré, le serveur tente d'interroger un serveur denoms pour obtenir la racine de l'espace de noms DNS (« . »). Ces serveurs racinesont gérés en tant qu'indications de racine. Bien que les serveurs de noms DNS de laracine ne changent pas fréquemment, cela peut arriver parfois. Windows Update

comprendra les mises à jour des indications de racine.Il existe plusieurs mécanismes pour améliorer l'efficacité des requêtes récursives,notamment les redirecteurs conditionnels et les zones de stub. Ces options serontabordées dans la leçon 4.




Configuration des clients

Points clésPour qu'un serveur DNS soit utile, des clients doivent être configurés pourl'interroger. Le client DNS est différent de tous les composants Active Directory

du système d'exploitation Windows. Ainsi, un client ne suppose pas que soncontrôleur de domaine est un serveur DNS et un client doit avoir au moins deuxserveurs DNS configurés.

La configuration peut être établie dans la configuration IP du client, comme dansl'image d'écran suivante :




La commande netsh.exe peut également servir à configurer le premier serveurDNS et les suivants pour une connexion réseau, comme dans l'exemple ci-dessous :

netsh interface ipv4 set dns "Local Area Connection"

static 10.0.0.11 primarynetsh interface ipv4 add dns "Local Area Connection" 10.0.0.12

Une autre méthode consiste à transmettre les serveurs DNS aux clients par leprotocole DHCP (Dynamic Host Configuration Protocol) à l'aide de l'option DHCP scope option 6: DNS server .

N'oubliez pas que les serveurs secondaires et autres serveurs DNS ne sont pasinterrogés si le serveur DNS principal renvoie une réponse négative. Les autresserveurs DNS ne sont interrogés que si le serveur principal ne répond pas ou estdéconnecté.




Atelier pratique A : Installation du service DNS

Scénario Vous êtes administrateur chez Contoso, Ltd. Vous avez récemment ajouté unsecond contrôleur de domaine à votre entreprise et vous souhaitez ajouter une

redondance au serveur DNS qui héberge la zone du domaine. Actuellement, le seulserveur DNS de la zone contoso.com est HQDC01. Vous devez vous assurer queles clients qui interrogent le nouveau serveur DNS, HQDC02, peuvent accéder auxsites Web sur Internet. De plus, il vous a été demandé de configurer un sous-domaine pour prendre en charge la résolution des noms requise pour que l'équipede développeurs puisse tester une application.




Exercice 1 : Ajout du rôle de serveur DNSDans cet exercice, vous allez ajouter le rôle de serveur DNS à l'ordinateurHQDC02, examiner la zone du domaine qui est automatiquement renseignée auniveau du serveur DNS, puis configurer HQDC02 pour qu'il s'utilise lui-mêmecomme son propre serveur DNS principal.

Les tâches principales de cet exercice sont les suivantes :

1. Préparer l'atelier pratique.

2. Ajout du rôle de serveur DNS

3. Changement de la configuration serveur DNS du client DNS

4. Examen de la zone de recherche directe du domaine

5. Configuration de redirecteurs pour la résolution des noms Internet

Tâche 1 : Préparation de l'atelier pratique

1. Démarrez 6238B-HQDC01-B.

2. Attendez la fin du démarrage.


4. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et lemot de passe Pa$$w0rd.

Tâche 2 : Ajout du rôle de serveur DNS

1. Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur,avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Ajoutez le rôle de serveur DNS à HQDC02.

3. Fermez le Gestionnaire de serveur.

4. Redémarrez HQDC02. Ouvrez ensuite une session en tant que Pat.Coleman avec le mot de passe Pa$$w0rd.

Cette opération n'est pas nécessaire dans un environnement de production,

mais cela accélère le redémarrage des services et la réplication desenregistrements DNS dans HQDC02 pour les besoins de cet exercice.




Tâche 3 : Changement de la configuration serveur DNS du client DNS

1. Exécutez une invite de commande en tant qu'administrateur, avec le nomd'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Tapez netsh interface ipv4 set dnsserver "Local Area Connection" static10.0.0.12 primary , puis appuyez sur Entrée.

3. Tapez netsh interface ipv4 add dnsserver "Local Area Connection"10.0.0.11, puis appuyez sur Entrée.

Tâche 4 : Examen de la zone de recherche directe du domaine

1. Exécutez le Gestionnaire DNS en tant qu'administrateur, avec le nomd'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Examinez les enregistrements SOA, NS et A dans la zone de recherche directe

du domaine contoso.com.

Tâche 5 : Configuration de redirecteurs pour la résolution des noms

Internet

• Configurez deux redirecteurs pour HQDC02 : 192.168.200.12 et192.168.200.13. Ces serveurs DNS n'existant pas encore, le nom de domainecomplet du serveur affichera soit <Tentative de résolution...>, soit <Résolutionimpossible>. Dans un environnement de production, vous configureriez lesredirecteurs sur les serveurs DNS en amont au niveau d'Internet, généralement

ceux fournis par votre opérateur Internet (ISP).

Résultats : À la fin de cet exercice, vous aurez ajouté le rôle de serveur DNS àl'ordinateur HQDC02 et simulé la configuration de redirecteurs pour résoudre les nomsDNS Internet.




Exercice 2 : Configuration de zones de recherche directe etd'enregistrements de ressourceDans cet exercice, vous allez ajouter une zone de recherche directe pour le

domaine de développement de Contoso. Vous allez ensuite ajouter un hôte et unenregistrement CNAME à cette zone et vérifier le fonctionnement de la résolutiondes noms dans la nouvelle zone.


1. Créer une zone de recherche directe.

2. Créer l'hôte et les enregistrements CNAME.

3. Vérifier la résolution des noms.

Tâche 1 : Création d'une zone de recherche directe• Créez une nouvelle zone de recherche directe appelée

development.contoso.com. Il doit s'agir d'une zone principale, stockée dans Active Directory et répliquée dans tous les contrôleurs du domainecontoso.com. Configurez la zone de sorte qu'elle n'autorise pas les mises à jourdynamiques.

Remarque : dans un environnement de production, vous vous contenteriez de larépliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique,

vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplicationrapide et sûre.

Tâche 2 : Création de l'hôte et des enregistrements CNAME

1. Dans la zone development.contoso.com, créez un enregistrement hôte (A)pour APPDEV01 avec l'adresse IP 10.0.0.24.

2. Créez un enregistrement CNAME, www.development.contoso.com, qui serésout en appdev01.development.contoso.com.




Tâche 3 : Test de la résolution des noms

• À l'invite de commande, tapez nslookup www.development.contoso.com,puis appuyez sur Entrée.

Examinez le résultat de la commande. Que vous indique-t-il ?

Résultats : à la fin de cet exercice, vous aurez créé une nouvelle zone de recherchedirecte, development.contoso.com, avec un hôte et des enregistrements CNAME, etvérifié que les noms de cette zone sont bien résolus.

Remarque : ne fermez pas les ordinateurs virtuels lorsque vous avez terminé cet atelierpratique car les paramètres configurés ici serviront dans le prochain atelier.

Questions de contrôle des acquis

Question : Si vous n'aviez pas configuré des redirecteurs dans HQDC02, quellesauraient été les conséquences pour les clients qui utilisent HQDC02 comme leurserveur DNS principal ?

Question : Les clients auraient-ils été capables de résoudre les noms du domainedevelopment.contoso.com si vous aviez choisi une zone DNS autonome plutôtqu'une zone intégrée à Active Directory ? Pourquoi cela se produirait-il ? Que

devriez-vous faire pour résoudre ce problème ?




Leçon 3

AD DS, DNS et Windows

Vous avez appris à configurer DNS dans un environnement simple, à l'aide desnombreux paramètres par défaut qui prennent en charge les domaines Active

Directory prêts à l'emploi. Dans cette leçon, vous allez en apprendre davantage surles composants et les processus qui prennent en charge les Services de domaine Active Directory (AD DS) et sur les interactions entre AD DS et DNS.


• comprendre l'intégration entre AD DS et DNS ;

• choisir un domaine DNS pour un domaine Active Directory ;

• créer une délégation de zone pour un nouveau domaine Active Directory ;

• configurer la réplication pour des zones intégrées à Active Directory ;

• décrire la fonction des enregistrements SRV dans le processus d'emplacementdes contrôleurs d'un domaine ;

• comprendre le fonctionnement des serveurs DNS en lecture seule.




AD DS, DNS et Windows

Points clésLes Services de domaine Active Directory, DNS et le système d'exploitation Windows sont intégrés et interdépendants de nombreuses manières. Dans cette

leçon, vous allez examiner dans le détail chacune de ces interactions.




Intégration entre AD DS et l'espace de noms DNS

Points clés Active Directory a besoin du système DNS, et tout domaine AD DS doit avoir unnom de domaine DNS. Le système DNS étant également utilisé en tant qu'espace

de noms standardisé et disponible au niveau international, vous devez réfléchirsoigneusement à l'emplacement dans lequel vous allez définir votre domaine ADDS au sein de l'espace de noms.

Supposons que vous êtes administrateur chez Contoso, Ltd., qui possède le nomde domaine enregistré contoso.com et un site Web à l'adresse www.contoso.com.Si vous planifiez l'espace de noms pour votre domaine AD DS, vous pouvez choisirl'un des éléments suivants :

• Le même nom de domaine que votre nom de domaine DNS externe :contoso.com. Si vous choisissez le même espace de noms, vous devezimplémenter le DNS « split-brain », qui est décrit dans la prochaine section.




• Un sous-domaine de votre nom de domaine externe : ad.contoso.com. Sivous utilisez un sous-domaine d'un nom de domaine enregistré, l'opération estfacile car vous êtes le propriétaire de cette portion de l'espace de noms DNS.Toutefois, soyez prudent et ne vous aventurez pas trop profondément dans

l'espace de noms DNS. Les utilisateurs et les administrateurs tapent des nomsde domaine complets bien plus fréquemment que vous ne l'imaginez, et unsuffixe de domaine trop long rend laborieuse la saisie de chaque nom dedomaine complet. De plus, les URL et les UNC ont des longueurs limites à nepas dépasser et qui sont vite atteintes avec des suffixes DNS à rallonge.

• Un nom de domaine distinct : contoso.net . Si vous utilisez un nom dedomaine distinct pour votre domaine Active Directory, il est recommandéd'enregistrer le domaine de sorte qu'il ne puisse pas être usurpé par une autreentreprise. Vous devez vous assurer de conserver la propriété de cette portionde l'espace de noms DNS.

Dans notre monde moderne de plus en plus connecté, les frontières entre réseau,intranet, extranet et Internet sont brouillées, voire pratiquement invisibles. Ildevient de moins en moins possible de maintenir une distinction dans l'espace denoms, et cela pose des problèmes de valorisation. C'est pourquoi de nombreusesorganisations choisissent le nom de domaine le plus familier, celui le plusétroitement associé à l'organisation et le plus facile à saisir : le nom de domainepublic. Comme nous venons d'en parler et comme se sera mentionné dans laprochaine rubrique, vous devez suivre des étapes pour prendre cette configurationen charge. Cependant, le coût de cette procédure est généralement bien moindrepar rapport aux avantages qu'elle offre. Quel que soit votre choix, vous devez gérerla résolution des noms, la protection du périmètre et la sécurité. Vous devez donc

produire un niveau d'effort administratif équivalent quel que soit votre choixd'espace de noms. Il est donc judicieux de choisir un nom DNS qui simplifie la viedes utilisateurs de votre espace de noms.

Au tout début de l'existence d'Active Directory, il était courant de suggérer oumême de conseiller l'utilisation d'un domaine de niveau supérieur personnalisé, telque .msft ou même le TLD .local. Suite à l'évolution de notre monde en réseau,dont l'arrivée du protocole IP version 6 (IPv6) et l'hyper connectivité qui en arésulté, ces options doivent être envisagées uniquement après une étudeapprofondie de leur capacité à prendre en charge les besoins de votre entreprise,de leurs avantages et de leur coût en termes d'administration et d'assistance des

utilisateurs.




DNS Split-Brain

Points clésChaque fois que vous utilisez un nom de domaine pour un domaine AD DSégalement utilisé pour les connexions à votre réseau depuis le monde extérieur,

vous devez vous assurer qu'il existe une séparation entre les zones DNS quifournissent différentes informations au public et aux clients internes. Il est alorsquestion de DNS split-brain.

La zone DNS interne doit prendre fidèlement en charge le domaine AD DS, avectous les enregistrements de ressource pour les serveurs, les clients et les servicesdu domaine. Idéalement, elle autorisera les mises à jour dynamiques sécurisées etstockera ses données dans Active Directory lui-même.

La zone DNS accessible de l'extérieur ne doit fournir aux clients externes que lesenregistrements de ressource dont ils ont besoin, par exemple www et ftp. Cettezone sera généralement beaucoup plus petite que celle qui assure la prise en

charge du domaine en interne. La zone externe sera généralement mise à jourmanuellement, et non dynamiquement. Le serveur DNS qui héberge la zoneexterne sera souvent placé derrière le pare-feu externe, avec uniquement le port 53ouvert pour lui.




Vous aurez peut-être besoin d'enregistrements en double dans les deux zones. Sivos utilisateurs internes ont besoin d'accéder au site Web public, tel quewww.contoso.com, cet enregistrement de ressource doit être présent dans la zoneinterne interrogée par les clients. N'oubliez pas que, le serveur DNS interne étant

considéré comme faisant autorité pour la zone (comme le serveur externe), ilrenverra soit une résolution, soit une réponse négative, indiquant quel'enregistrement n'existe tout simplement pas. Il ne peut pas y avoir de seconderequête ou de requête itérative dans la zone externe. Vous devrez donc créer desenregistrements qui sont nécessaires en interne et en externe, tels que www, dansles deux zones.




Création d'une délégation pour un domaine ActiveDirectory

Points clésDans le Module 1, vous avez créé un nouveau domaine et une forêt WindowsServer 2008 AD DS. Lorsque vous avez promu le contrôleur du domaine, vousavez reçu un message indiquant qu'il n'y avait aucune délégation pour le domainecontoso.com. Vous avez ignoré ce message et poursuivi l'établissement du domaine,avec le système DNS au niveau du contrôleur du domaine. Les clients configurésavec l'adresse IP du contrôleur de domaine (DC) pour leur serveur DNSinterrogeront le DC et seront capables de résoudre les noms du domainecontoso.com. Toutefois, aucun client externe ne pourra résoudre les noms dudomaine contoso.com car il n'y a pas de délégation : aucun enregistrement NSdans le domaine .com qui pointe vers votre serveur DNS faisant autorité.

Ceci ne pose pas de problème pour notre cours car votre domaine est isolé comme

une île : il est séparé du reste d'Internet et vous n'avez pas besoin de délégation.




Toutefois, au sein d'une forêt, il est important qu'il y ait des délégations entre undomaine parent et un domaine enfant si la zone du domaine enfant est hébergée dansdes serveurs DNS distincts. Si le domaine enfant est appelé à être un sous-domainede la zone existante, aucune délégation n'est nécessaire.

Par exemple, si vous souhaitez ajouter un domaine, europe.contoso.com, àl'arborescence des domaines, les clients de contoso.com doivent pouvoir résoudreles serveurs, les services et les autres enregistrements de europe.contoso.com afinde prendre en charge la réplication et l'authentification dans la forêt.

Avant d'ajouter un domain enfant à l'arborescence ou une nouvelle arborescence àune forêt, vous devez créer une délégation dans le domaine parent ou dans ledomaine racine de la forêt.

Pour créer une délégation, cliquez du bouton droit sur la zone du domaine parent,puis choisissez Nouvelle délégation. Vous serez invité à saisir le nom des serveursdu nouveau domaine. Faites alors référence au serveur qui est ou sera le serveur

DNS du domaine enfant.Pour créer une délégation pour une nouvelle arborescence de domaines ou pour ledomaine racine de la forêt, créez d'abord une nouvelle zone dans la zone DNSracine existante. Dans la nouvelle zone, ajoutez un enregistrement Adresse quiutilise le nom DNS complet du serveur DNS du nouveau domaine. Ajoutez ensuiteun enregistrement NS pour le nouveau domaine qui fait référence au nom DNScomplet du contrôleur du domaine.

Après avoir créé la délégation, vous êtes prêt à configurer le serveur qui sera lepremier contrôleur du domaine enfant. Commencez par configurer son serveurDNS pour qu'il pointe vers le serveur DNS dans lequel vous créez la délégation.

Installez le rôle DNS à l'aide du Gestionnaire de serveur, puis créez la zoneprincipale du domaine enfant. Vous pouvez également utiliser l'AssistantInstallation des services de domaine Active Directory (dcpromo.exe), qui peutinstaller DNS dans le cadre de l'installation d'AD DS.

Après la création du domaine enfant, reconfigurez le serveur DNS enfant pour qu'ils'utilise lui-même en tant que serveur DNS principal. En général, vous ajouterez leserveur DNS parent en tant que redirecteur, redirecteur conditionnel ou zone destub pour le serveur DNS enfant. D'une manière ou d'une autre, vous devez faireen sorte que les systèmes du domaine enfant puissent résoudre les noms dudomaine parent. Pour finir, dans la plupart des scénarios, il est conseillé d'utiliser

une zone intégrée à Active Directory et qui prenne en charge les mises à jourdynamiques sécurisées pour le domaine enfant.




Zones intégrées à Active Directory

Points clésDans la leçon 1, vous avez appris qu'un serveur DNS Windows est capable destocker les données des zones dans la base de données AD DS lorsque le serveur

DNS est un contrôleur de domaine AD DS. Ceci crée une Zone intégrée à ActiveDirectory. Les avantages des zones intégrées à Active Directory sont importants :

• Mises à jour multimaître : à la différence des zones principales habituelles,qui ne peuvent être modifiées que par un seul serveur principal, toutcontrôleur de domaine peut écrire dans les zones intégrées à Active Directorysi elles y sont répliquées. Ceci retire un point de défaillance unique del'infrastructure DNS. Il est particulièrement important dans les environnements géographiquement distribués qui utilisent des zones à mises à jour dynamiques. Eneffet, cela permet aux clients d'actualiser leurs enregistrements DNS sans avoirà se connecter à un serveur principal potentiellement éloigné.




• Réplication des données d'une zone DNS par réplication AD DS : dans leModule 12, vous allez étudier les mécanismes de réplication efficaces et générateurs de topologie de la réplication AD DS. L'une des caractéristiques de laréplication d'Active Directory est la réplication au niveau des attributs, dans

laquelle seuls les attributs modifiés son répliqués. Une zone intégrée à ActiveDirectory peut tirer parti de ces avantages de la réplication Active Directory, aulieu de répliquer la totalité du fichier de la zone comme dans les modèlestraditionnels du transfert de zones DNS.

• Mises à jour dynamiques sécurisées : une zone intégrée à Active Directorypeut imposer des mises à jour dynamiques sécurisées.

• Sécurité granulaire : comme avec d'autres objets Active Directory, une zoneintégrée à Active Directory vous permet de déléguer l'administration des zones,des domaines et des enregistrements de ressource en modifiant la Liste decontrôle d'accès (ACL) de l'objet.




Partitions d'application pour les zones DNS

Points clésToute zone intégrée à Active Directory stocke ses enregistrements dans la base dedonnées AD DS. Ces enregistrements peuvent être stockés dans l'une des

partitions suivantes :

• Partition DomainDNSZone : cette partition est répliquée dans tous lescontrôleurs de domaine qui sont des serveurs DNS au sein de ce domaine.

• Partition ForestDNSZones : cette partition est répliquée dans tous lescontrôleurs de domaine qui sont des serveurs DNS au sein de la forêt.

Ces partitions par défaut sont créées lors de l'installation du système DNS etconfigurées durant l'installation d'AD DS. Vous pouvez utiliser l'outil degestion du système DNS ou la commande dnscmd.exe pour créer despartitions après l'installation d'AD DS.




• Domaine : le Domaine, qui contient également des enregistrements pour lesobjets, notamment les utilisateurs et les ordinateurs, est répliqué dans tous lescontrôleurs de domaine, qu'ils soient ou non des serveurs DNS. Sous Windows 2000, les zones DNS étaient stockées dans le Domaine NC. Si vous

avez des contrôleurs de domaine Windows 2000 qui sont également desserveurs DNS, vous devez utiliser cette option de réplication pour prendre cessystèmes en charge.

Le choix de vos partitions dépend principalement de la topologie deréplication que vous allez sélectionner pour vos zones DNS. Bien sûr, la zonedoit être répliquée dans un serveur DNS pour que ce dernier fasse autoritépour cette zone. Si un serveur DNS n'a pas de réplica de cette zone, il doitavoir un redirecteur ou une zone de stub pour exécuter les requêtes récursivesdemandant la résolution des noms de cette zone.

• Partition d'application personnalisée : si les partitions d'application par

défaut n'offrent pas le modèle de réplication dont vous avez besoin pourprendre en charge votre infrastructure DNS, vous pouvez créer une partitiond'application personnalisée, pour laquelle vous désignez les serveurs qui vontla répliquer.




Partitions d'application DNS

Points clésPour créer une partition d'application, utilisez la commande dnscmd.exe, commedans l'exemple suivant :

dnscmd hqdc01.contoso.com /createdirectorypartition MaZone.contoso.com




Vous pouvez modifier l'étendue de réplication d'une zone dans ses propriétés.Cliquez sur le bouton Changer accolé à Réplication, comme dans la figuresuivante :




Mises à jour dynamiques

Points clésPar défaut, les systèmes Windows tentent d'inscrire leurs enregistrements avec leurserveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du

client ou via la Stratégie de groupe.

Le service Client DHCP est celui qui exécute l'inscription, que l'adresse IP du clientsoit obtenue auprès d'un serveur DHCP ou quelle soit fixe. L'inscription seproduit :

• Lorsque le client démarre et que le service Client DHCP est déjà démarré

• Lorsqu'une adresse IP est configurée, ajoutée ou modifiée dans touteconnexion réseau

• Lorsqu'un administrateur exécute la commande ipconfig /registerdns




Le client tente d'identifier le serveur DNS principal pour la zone. Si la zone n'estpas intégrée à Active Directory, cette opération peut exiger plusieurs itérationsdans lesquelles le client identifie un serveur de noms, envoie une mise à jour et estrejeté car ce serveur de noms n'héberge qu'une zone secondaire. Ensuite, si la zone

prend en charge les mises à jour dynamiques, le client atteint un serveur DNSautorisé à écrire dans cette zone. Il s'agit du serveur principal pour une zonestandard, à base de fichier, ou de tout contrôleur de domaine qui est serveur denoms pour une zone intégrée à Active Directory.

Si la zone est configurée pour les mises à jour dynamiques sécurisées, le serveurDNS refuse la modification. Dans ce cas, le client s'authentifie et renvoie la mise à jour.

Dans certaines configurations, vous préférerez probablement que les clients nemettent pas leurs enregistrements à jour, même dans une zone à mises à jourdynamiques. Sinon, vous pouvez configurer le serveur DHCP pour qu'il inscrive les

enregistrements de la part des clients. Par défaut, un client inscrit sonenregistrement A (hôte/adresse), et le serveur DHCP inscrit l'enregistrement PTR (pointeur/recherche inversée). Les enregistrements PTR sont traités dans laleçon 4.




Chargement de zones en arrière-plan

Points clésIl se peut qu'une zone qui prend en charge un domaine AD DS deviennevolumineuse, particulièrement si les enregistrements A des clients sont conservés

dans un vaste domaine. Dans les précédentes versions de Windows, le serviceServeur DNS prenait beaucoup de temps pour démarrer lorsqu'il devait chargerune zone volumineuse.

Windows Server 2008 charge les zones en arrière-plan. Cela permet au serveurDNS de commencer à répondre très rapidement aux requêtes. S'il reçoit unerequête pour une zone qui n'est pas encore chargée, il s'efforce de la chargerrapidement.




Enregistrements SRV

Points clésLes enregistrements de ressource SRV (Service Locator, ou Service Localisateur)résolvent les requêtes d'un service réseau. Cela permet aux clients de localiser un

hôte qui fournit un service spécifique.

Les enregistrements SRV sont utiles dans de nombreux scénarios :

• Lorsqu'un contrôleur de domaine doit répliquer des changements enprovenance de ses partenaires

• Lorsqu'un ordinateur client doit s'authentifier dans AD DS

• Lorsqu'un utilisateur change son mot de passe

• Lorsqu'un serveur Microsoft Exchange effectue une recherche dans l'annuaire

• Lorsqu'un administrateur ouvre Utilisateurs et ordinateurs Active Directory




Tout enregistrement SRV adopte la syntaxe suivante :

protocole.service.nom TTL classe type priorité poids port cible

Voici un exemple d'enregistrement SRV :

_ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Les composants de l'enregistrement sont les suivants :

• Nom de service du protocole, tel que LDAP, offert par un contrôleur dedomaine

• Valeur de la durée TTL, en secondes

• Classe (tous les enregistrements d'un serveur DNS Windows seront IN ouINternet)

• Type : SRV • Priorité et poids (aident les clients à choisir l'hôte à privilégier)

• Port sur lequel le service est offert par le serveur. Le port 389 est le portstandard pour LDAP dans un contrôleur de domaine Windows.

• Cible, ou hôte du service (dans ce cas, il s'agit du contrôleur de domainenommé hqdc01.contoso.com)

Lorsqu'un processus client recherche un contrôleur de domaine, il peut interrogerle système DNS pour obtenir un service LDAP. Cette requête renvoie les deux

enregistrements (SRV et A) du ou des serveurs qui fournissent le service demandé.




Démonstration : Enregistrements de ressource SRV inscritspar des contrôleurs de domaine AD DS

Points clésDans cette démonstration, votre instructeur va vous montrer les enregistrementsSRV inscrits par un contrôleur de domaine dans la forêt contoso.com. Vous allezeffectuer les tâches suivantes :

• Utiliser le Gestionnaire DNS pour afficher les enregistrements SRV inscrits

• _tcp.contoso.com, qui dresse la liste de tous les contrôleurs du domaine

• _tcp.siteName._sites.contoso.com, qui dresse la liste des contrôleurs dedomaine qui couvrent un site spécifique

• _msdcs.contoso.com, qui suit la trace des contrôleurs de domaine d'uneforêt et que ceux-ci utilisent pour se localiser mutuellement




• Simuler une requête de client qui demande un contrôleur de domaine

nslookup

set type=srv

_ldap._tcp.contoso.com

• Découvrir comment les contrôleurs de domaine inscrivent leursenregistrements de ressource dans une zone à mises à jour dynamiques.Supprimez un enregistrement SRV, puis arrêtez et redémarrez le serviceNetLogon. Le service NetLogon inscrit les enregistrements DC au démarrage.

• Afficher le fichier %systemroot%\system32\config\netlogon.dns, qui contientles enregistrements qui doivent être inscrits manuellement si la zone ne prendpas en charge les mises à jour dynamiques

Étapes de la démonstration1. Exécutez Gestion du service DNS avec des droits administratifs à l'aide du

compte Pat.Coleman_Admin et du mot de passe Pa$$w0rd. Dansl'arborescence de la console, développez HQDC01, Zones de recherchedirecte, et contoso.com, puis cliquez sur le nœud _tcp. Examinez lesenregistrements SRV.

2. Dans l'arborescence de la console, développez HQDC01, Zones de recherchedirecte, contoso.com, _sites, BRANCHA , puis cliquez sur le nœud _tcp.Examinez les enregistrements SRV.

3. Exécutez une invite de commande avec le compte administratif utilisé

précédemment.4. Tapez nslookup, puis appuyez sur Entrée.

5. Tapez set type=SRV , puis appuyez sur Entrée.

6. Tapez _ldap._tcp.contoso.com, puis appuyez sur Entrée.

7. Basculez dans le Gestionnaire DNS.

8. Développez HQDC01, Zones de recherche directe, et contoso.com, puiscliquez sur le nœud _tcp.

9. Cliquez du bouton droit sur l'enregistrement SRV de hqdc01.contoso.com,

puis cliquez sur Supprimer.10. Revenez à l'invite de commande.

11. Tapez net stop netlogon, puis appuyez sur Entrée.




12. Tapez net start netlogon, puis appuyez sur Entrée.


14. Dans l'arborescence de la console, cliquez du bouton droit sur le nœud _tcp,

puis choisissez Actualiser. Examinez l'enregistrement SRV dehqdc01.contoso.com.

15. Ouvrez notepad.exe.

16. Cliquez sur Fichier, sur Ouvrir, tapez %systemroot%\system32\config\netlogon.dns dans la zone Nom de fichier, puis appuyez sur Entrée.

17. Examinez les enregistrements SRV par défaut.




Emplacement des contrôleurs de domaine

Points clésLorsqu'un client s'authentifie, il tente de localiser un contrôleur de domaine dansson site. Si ce client ne s'est pas authentifié auparavant, il interroge DNS pour

obtenir _ldap._tcp.NomDomaine, puis il récupère la liste de tous les contrôleurs dece domaine. Le client tente une liaison LDAP avec chacun d'eux, et le premiercontrôleur qui répond est sélectionné pour la prochaine étape. Remarquez que, àce stade, il est possible qu'un contrôleur d'un autre site réponde en premier.

Le client tente alors de s'authentifier auprès de ce contrôleur de domaine. Lecontrôleur examine l'adresse IP du client et la compare aux informations qu'ilpossède à propos des sites et des sous-réseaux. Si ce contrôleur ne fait pas partiedu site du client, il indique au client quel site est le sien.

Le client interroge alors DNS pour obtenir _ldap._tcp.NomSite. nomDomaine, ce quirenvoie la liste des contrôleurs de domaine qui couvrent ce site. De nouveau, le

client tente une liaison LDAP avec chacun de ces contrôleurs, et le premier quirépond est sélectionné. Le client s'authentifie alors auprès de ce contrôleur dedomaine.




Le client stocke son appartenance à son site dans le Registre, et une affinité s'établitavec le contrôleur de domaine auprès duquel il s'est authentifié. La prochaine foisque ce client doit contacter un contrôleur, il commence par celui avec lequel uneaffinité s'est créée. Si ce contrôleur nst pas disponible, le client récupère les

informations sur son site dans le Registre et interroge DNS pour obtenir_ldap._tcp.nomSite.nomDomaine.

Ce processus est résumé dans la diapositive suivante :

L'emplacement des contrôleurs de domaine sera abordé de nouveau dans leModule 12, où vous étudierez comment les enregistrements SRV et le processus delocalisation des contrôleurs sert à vérifier l'authentification à un contrôleur efficace.




Zones DNS en lecture seule

Points clésTout serveur DNS placé dans un Contrôleur de domaine en lecture seule (Read-Only Domain Controller, ou RODC) peut faire autorité pour des zones qui sont

répliquées dans le RODC, et il peut résoudre les requêtes des clients qui utilisentce RODC en tant que serveur DNS.

Bien sûr, la caractéristique principale d'un RODC est qu'il ne peut effectuer aucunemodification dans Active Directory. Ainsi, les enregistrements de ressource nepeuvent pas être ajoutés manuellement à la zone d'un RODC et les mises à jourdynamiques proposées par les clients ne sont pas acceptées.

Les mises à jour dynamiques sont gérées en orientant les clients vers un DCinscriptible lorsqu'ils tentent d'envoyer une mise à jour à un RODC. Pour le RODC,il est utile d'inclure dès que possible dans la zone l'enregistrement de ressourcemis à jour par le client. Ainsi, le RODC conserve la trace du client qui a tenté une

mise à jour et la trace du DC inscriptible auquel ce client s'est référé. Après unecourte attente, le RODC effectue une opération RSO (Réplication d'un objetunique), dans laquelle il récupère l'enregistrement DNS mis à jour pour le clientauprès du DC inscriptible, en contournant les mécanismes de réplication habituels.




Leçon 4

Configuration et administration avancées dusystème DNS

Vous avez appris à configurer une implémentation DNS simple et vous avezdécouvert comment DNS prend en charge AD DS. Dans ce module, vous allezexplorer certaines rubriques avancées de configuration et d'administration dusystème DNS.


• comprendre et configurer la résolution des noms en une partie ;

• configurer les paramètres avancés du serveur DNS ;

• auditer, gérer et dépanner le rôle de serveur DNS.




Résolution des noms en une partie

Points clésEn temps normal, tout utilisateur ou toute application peut souhaiter ou avoir

besoin de faire référence à un hôte par un nom en une seule partie. Par exemple,un utilisateur peut ouvrir Internet Explorer et accéder à l'adresse http://legalapp.

Il est important que vous compreniez comment le service Client DNS fonctionnepour résoudre un nom en une partie.

Tout d'abord, le client tente de résoudre le nom en une partie comme un nomcomplet en lui ajoutant le suffixe d'un domaine DNS. Le suffixe ajouté est choisi àl'aide de l'une des options suivantes : le premier qui est configuré dans lesParamètres TCP/IP avancés d'une connexion, et le second à l'aide de la Stratégie degroupe.




• Suffixe DNS de la connexion réseau du client : le client ajoute le suffixe de saconnexion DNS, tel que ad.contoso.com. En utilisant le suffixe basé sur laconnexion, vous pouvez éventuellement configurer un client pour qu'il utilisela dévolution des noms de domaine, qui signifie que, si le suffixe de connexion

échoue, le client recommence avec le nom du domaine parent, qui seraitcontoso.com dans cet exemple. La dévolution s'interrompt à ce stade ; ellen'interroge pas DNS avec un nom de domaine du niveau supérieur (TLD).

• Ordre de recherche des suffixes DNS : vous pouvez spécifier les suffixes DNSqu'un client doit tenter. Il s'agit là de la méthode la plus simple avec la

Stratégie de groupe. Si l'ordre de recherche des suffixes DNS est utilisé, il n'y apas de dévolution. Vous devez désigner précisément les noms de domaine quele client doit tenter.

Si le suffixe DNS n'offre pas de résolution, le client DNS abandonne et interrogeDNS avec un nom en une partie. Si cela ne fonctionne pas, le système tente unerésolution de nom NetBIOS, qui commence par envoyer une requête à un serveur Windows Internet Name Service (WINS). Si celle-ci échoue également, il a recoursà une diffusion NetBIOS dans le segment local.

Le client DNS n'a pas beaucoup de temps pour résoudre un nom. En réalité, après

12 secondes, la résolution échoue. À ce stade, il revient à l'application cliente dedécider de la conduite à tenir. Cela signifie qu'il est possible que le client arrive àexpiration avant que toutes les combinaisons de noms aient été tentées.




Le serveur DNS Windows Server 2008 fournit une nouvelle option pour prendreen charge la résolution des noms en une partie : la zone GlobalNames. Il s'agitd'une zone spécialisée que vous créez dans vos serveurs DNS. En général, voussouhaiterez la répliquer dans la partition ForestDNSZones afin que tous les

serveurs DNS de la forêt puissent y accéder. Cette zone contient desenregistrements CNAME avec des noms en une partie et leur résolution en nomscomplets.

Lorsqu'un client envoie une requête en une partie, le serveur DNS peut la résoudreen récupérant l'enregistrement CNAME dans la zone GlobalNames, puis enrecherchant l'enregistrement A approprié du nom complet.

Pour utiliser GlobalNames, vous devez créer la zone GlobalNames, puis activer sonusage dans les résolutions à l'aide de la commande dnscmd.exe. Pour plusd'informations, consultez l'article mentionné dans la section Lecturescomplémentaires.

Lectures complémentaires• Résolution des noms DNS en une partie

http://go.microsoft.com/fwlink/?LinkId=168531

• Déploiement de la zone GlobalNameshttp://go.microsoft.com/fwlink/?LinkId=168532




Résolution des noms extérieurs à votre domaine

Points clésIl existe plusieurs moyens pour fournir la résolution des enregistrements DNSextérieurs à votre domaine, ceux pour lesquels vos serveurs DNS ne font pas

autorité.

• Zone secondaire : la première option consiste à faire en sorte que les serveursfassent autorité en hébergeant une zone secondaire du domaine externe. Ceciexige l'autorisation d'effectuer un transfert de zone depuis un serveur de nomsvers la zone. Donc, cette option ne convient généralement pas pour lesdomaines externes de votre entreprise.

• Redirecteurs : les redirecteurs, traités à la leçon 2, sont des pointeurs vers desserveurs DNS en amont, des serveurs DNS fournis par votre opérateur ISP oudes serveurs DNS Internet. Votre serveur DNS peut envoyer des requêtes auxserveurs redirecteurs.

Si vous choisissez de pointer vers un serveur DNS autre que celui qui est gérépar vous ou votre opérateur ISP, il convient d'en demander l'autorisation avantd'envoyer des requêtes récursives à un serveur DNS tiers.




• Indications de racine : les indications de racine pointent vers des serveurs denoms de la racine de l'espace de noms DNS (« . »). Tout serveur DNS possèdela liste des serveurs racine. Cette liste est mise à jour par Windows Update,mais elle ne change pas souvent.

• Redirecteurs conditionnels : les redirecteurs conditionnels pointent vers lesserveurs de noms qui doivent recevoir les requêtes de noms de domainespécifiques. Tout redirecteur conditionnel crée un « raccourci direct » vers unserveur pour demander un domaine, et il n'a pas besoin d'envoyer desrequêtes récursives à un redirecteur (non conditionnel), ni d'aller jusqu'à laracine de l'espace de noms DNS avec une indication de racine.

• Zone de stub : vous avez étudié les domaines de stub précédemment dans cemodule, car ils peuvent être utilisés sous forme de délégation pour undomaine enfant. Les domaines de stub peuvent s'avérer très utiles pourrésoudre les noms extérieurs à votre entreprise. N'oubliez pas que le principal

avantage d'un domaine de stub est que le serveur DNS gère dynamiquement laliste des serveurs de noms de ce domaine. Vous pouvez considérer les zonesde stub comme des redirecteurs conditionnels dynamiques. Le prix à payer estque le port TCP 53 doit rester ouvert pour tous les serveurs de noms dudomaine.




Zone de recherche inversée

Points clés Alors qu'une requête DNS typique demande l'adresse IP d'un nom d'hôte, unerecherche inversée demande le nom d'hôte d'une adresse IP donnée.

Tout nom complet est traité de droite à gauche, de la partie la plus générique (telleque .com) à la plus spécifique (telle que technet). Cependant, une adresse IP estplus générique à gauche : le premier octet est le plus générique et le dernier est leplus spécifique. Ainsi, pour envoyer une requête DNS avec une adresse IP, le clientinverse l'ordre des octets et ajoute un nom de domaine réservé, in-addr.arpa.

Donc, si un client veut connaître le nom d'hôte de l'ordinateur dont l'adresse IP est10.0.1.34, il demande 34.1.0.10.in-addr.arpa.




Si vous vous rappelez de la hiérarchie du système de noms de domaine, vous savezque la racine est indiquée par un point (« . »), et en dessous se trouvent lesdomaines les plus génériques (domaines de niveau supérieur ou TLD). Au fur et àmesure que vous descendez dans la hiérarchie, les noms deviennent plus

spécifiques. Le domaine in-addr.arpa est le TLD réservé aux recherches inversées.En dessous, se trouvent les domaines pour chaque octet des adresses IP. Cecisuggère que DNS ne prend en charge que les masques de sous-réseau standard, oùle masque de sous-réseau d'un octet est soit 0, soit 255. Bien que cela soit vrai dansla totalité du réseau Internet, le serveur DNS Windows Server 2008 vous permetde créer des zones de recherche inversée en sous-réseau si vous en avez besoin.

Comme les zones de recherche directe, les zones de recherche inversée ont desenregistrements de ressource (RR). L'enregistrement le plus générique dans unezone de recherche inversée est le Pointeur (PTR), dont le nom est défini sur lavaleur du dernier octet de l'adresse IP d'un hôte et les données de l'enregistrementdéfinies sur le nom complet de cet hôte.

Comme les zones de recherche directe, les zones de recherche inversée prennenten charge les mises à jour dynamiques. Par défaut, lorsque le serveur DHCP Windows affecte une adresse IP à un client, il inscrit également l'enregistrementPTR de ce client.

Les zones de recherche inversée ne sont pas obligatoires, mais sontrecommandées. Certaines applications et certains services utilisent les recherchesinversées en tant que vérification de sécurité, pour valider l'identité d'un requêteprovenant d'un client. L'application peut utiliser l'adresse IP du client pourrechercher son enregistrement PTR. Ensuite, elle peut valider la correspondanceentre l'enregistrement A et l'hôte. En supposant que les mises à jour sécurisées sont

en place, cela garantit que la requête provient bien d'un client autorisé.




Maintenance des zones et des serveurs DNS

Points clésLa gestion du rôle de serveur DNS est pratiquement automatique. Cependant, unefonctionnalité est importante pour le configurer dans une zone qui prenne en

charge les mises à jour dynamiques : le nettoyage. Le nettoyage est le processus quiconsiste à supprimer les enregistrements périmés. Il est important non seulementpour les enregistrements A des clients et des serveurs, mais également, et encoreplus, pour les enregistrements SRV inscrits par des contrôleurs de domaine. Danscertains scénarios, il est possible d'avoir des enregistrements SRV qui fontréférence à des contrôleurs de domaine incorrects, déplacés ou supprimés. Lenettoyage assure leur suppression définitive.

Pour les zones intégrées à Active Directory, vous pouvez implémenter le nettoyageau niveau des zones ou des serveurs. La boîte de dialogue des propriétés duserveur vous permet de définir ses paramètres de nettoyage et de péremption, qui

sont des paramètres par défaut pour les zones intégrées à Active Directory héritantdes propriétés du serveur. Vous pouvez remplacer les paramètres par défaut duserveur zone par zone à l'aide de la boîte de dialogue des propriétés d'une zone.




Pour les zones principales standard, vous devez définir le nettoyage au niveau deszones.

Après avoir défini les limites temporelles après lesquelles le nettoyage desenregistrements est autorisé, vous devez effectuer le nettoyage réel. Pour faciliter

cette opération de gestion, configurez le serveur pour un nettoyage automatiquedans l'onglet Avancé de la boîte de dialogue Propriétés du serveur. Vous pouvezégalement déclencher le nettoyage manuellement en cliquant du bouton droit surle serveur dans le composant logiciel enfichable Gestionnaire DNS.

Parmi les autres tâches de maintenance parfois nécessaires pour le serveur setrouvent l'affichage et la purge du cache. Cela devient utile lorsque vous découvrezque les clients obtiennent des résolutions incorrectes d'un serveur pour des zonespour lesquelles il ne fait pas autorité. Vous pouvez afficher les Recherches mises encache d'un serveur en cliquant sur le menu Affichage du composant logicielenfichable Gestionnaire DNS et en sélectionnant Fonctionnalités avancées. Vous

pouvez alors vider le cache du serveur, si nécessaire, en cliquant du bouton droitsur le nœud de ce serveur ou sur le nœud Recherches mises en cache dansl'arborescence de la console.




Test et dépannage des serveurs DNS

Points clésLes événements DNS sont consignés dans le journal DNS, qui s'affiche dans leGestionnaire DNS, le Gestionnaire de serveur et le Gestionnaire des événements.

Comme pour les autres journaux d'événements de Windows Server 2008, vouspouvez centraliser la collecte des événements à l'aide d'abonnements, traités dansle Module 13. Il s'agit d'une pratique recommandée, car elle vous permet desurveiller depuis un emplacement central tout signe de dysfonctionnement dansvotre infrastructure DNS.

Parfois, il peut être utile d'effectuer la journalisation du débogage, qui consigne lesdétails des transactions DNS. Vous pouvez activer la journalisation du débogagedans la boîte de dialogue Propriétés du serveur.

Dans cette même boîte de dialogue Propriétés du serveur, vous pouvez égalementexécuter des requêtes récursives et itératives à des fins de test. Ainsi, vous pouvez

vérifier que les zones de stub, les redirecteurs conditionnels, les redirecteurs et lesindications de racine fonctionnent comme prévu.




L'intégration entre DNS et AD DS a été détaillée dans la leçon 3. La commandedcdiag.exe /test:DNS exécute une série de tests exhaustifs pour s'assurer que cetteintégration est opérationnelle. Si vous suspectez un problème spécifique, vouspouvez effectuer des tests plus granulaires. Pour plus de détails, tapez dcdiag.exe /?.




Test et dépannage des clients DNS

Points clésEn fin de compte, DNS et le rôle de serveur DNS concernent la résolution desrequêtes des clients. Parfois, vous devez résoudre les problèmes de satisfaction des

clients et des composants de DNS.

Pour dépanner le côté client du système DNS, vous pouvez utiliser les commandessuivantes.

• ipconfig /all : cette commande affiche la configuration IP du client, y comprisses serveurs DNS. Vérifiez que le client utilise les serveurs corrects, et que cesderniers sont accessibles.

• NSLookup : cette commande exécute directement des requêtes DNS. Engénéral, un test avec NSLookup comprend les éléments suivants :

set server=adresse IP




Cette commande désigne le serveur DNS à interroger. Par défaut, il s'agit duserveur DNS principal du client. À la réception d'une réponse, NSLookupidentifie le serveur qui a répondu. Si aucune zone de recherche inversée n'estdisponible avec un enregistrement PTR contenant l'adresse IP du serveur DNS,

le nom du serveur DNS apparaît comme Inconnu, mais son adresse IP estidentifiée. La prochaine ligne est la suivante :

set type=type d'enregistrement

Cette ligne définit le type d'enregistrements à interroger, par exemple SRV. Leparamètre par défaut est A (adresse/hôte). La dernière ligne est la suivante :

enregistrement

Cela désigne l'enregistrement à interroger, généralement un nom de domainecomplet lorsque la résolution d'un enregistrement A est testée.

• Ipconfig/displaydns : cette commande affiche le contenu du cache derésolution DNS dans le client.

• ipconfig /flushdns : cette commande purge le cache de résolution DNS duclient.

• ipconfig /registerdns : cette command déclenche une mise à jour dynamiquedans laquelle le client inscrit ses enregistrements A.




Atelier pratique B : Configuration avancée dusystème DNS

Scénario

Vous êtes l'administrateur de DNS chez Contoso, Ltd. Vous souhaitez améliorer lefonctionnement et l'efficacité de votre infrastructure DNS en activant le nettoyageet en créant une zone de recherche inversée pour le domaine. Vous souhaitezégalement examiner les enregistrements qui permettent aux clients de localiser lescontrôleurs de domaine. Pour finir, vous êtes chargé de configurer la résolution desnoms entre contoso.com et le domaine d'une société partenaire, tailspintoys.com.




Exercice 1 : Activation du nettoyage des zones DNSDans cet exercice, vous allez activer le nettoyage des zones DNS afin de supprimerles enregistrements de ressource périmés.

Les tâches principales de cet exercice sont les suivantes :1. Préparer l'atelier pratique.

2. Activer le nettoyage d'une zone DNS.

3. Configurer les paramètres par défaut du nettoyage.


Certains des ordinateurs virtuels ont déjà dû être démarrés lors de l'Atelierpratique A. Toutefois, s'ils ont été arrêtés, terminez les Exercices 1 et 2 de l'Atelier

pratique A avant de continuer car il existe des dépendances entre les Atelierspratiques A et B.


2. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avecle mot de passe Pa$$w0rd.

3. Ouvrez D:\Labfiles\Lab10b.

4. Exécutez Lab10b_Setup.bat avec des droits administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd.

5. Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé,appuyez sur une touche quelconque.

6. Fermez la fenêtre de l'Explorateur Windows, Lab10b.


8. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et lemot de passe Pa$$w0rd.

9. Démarrez 6238B-TSTDC01-A.

10. Ouvrez une session sur TSTDC01 en tant que Sara.Davis avec le mot de passePa$$w0rd.

11. Démarrez 6238B-BRANCHDC01-B.

12. Patientez jusqu'à la fin du démarrage de BRANCHDC01 avant de poursuivre.




Tâche 2 : Activation du nettoyage d'une zone DNS

1. Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur,avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Activez le nettoyage pour la zone contoso.com. Acceptez les paramètres pardéfaut pour les intervalles de nettoyage.

Tâche 3 : Configuration des paramètres par défaut du nettoyage

• Configurez HQDC02 de sorte que, par défaut, le nettoyage soit activé pourtoutes les zones. Acceptez les paramètres par défaut pour les intervalles denettoyage.

Résultats : à la fin de cet exercice, vous aurez configuré le nettoyage du domaine

contoso.com et activé le nettoyage par défaut de toutes les zones.




Exercice 2 : Création de zones de recherche inverséeDans cet exercice, vous allez créé une zone de recherche inversée pour le domainecontoso.com.

Les tâches principales de cet exercice sont les suivantes :1. Créer une zone de recherche inversée.

2. Vérifier le fonctionnement d'une zone de recherche inversée.

Tâche 1 : Création d'une zone de recherche inversée

• Créez une zone de recherche inversée pour le réseau IPv4 10. Autorisezuniquement les mises à jour dynamiques sécurisées, et répliquez la zone danstous les contrôleurs du domaine contoso.com.

Remarque : dans un environnement de production, vous vous contenteriez de larépliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique,vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplicationrapide et sûre.

Tâche 2 : Vérification du fonctionnement d'une zone de recherche

inversée

1. Exécutez une invite de commande en tant qu'administrateur, avec le nom

d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Tapez nslookup www.development.contoso.com, puis appuyez sur Entrée.

Notez que la première section du résultat de la commande, qui désigne leserveur DNS interrogé, indique l'adresse IP du serveur mais, à côté de Serveur,elle signale que ce serveur est Inconnu. En effet, la commande nslookup.exene peut pas résoudre l'adresse IP en nom.


4. Dans l'arborescence de la console, cliquez sur la zone 10.in-addr.arpa sousZones de recherche inversée.

5. Examinez les enregistrements de cette zone.

6. Revenez à l'invite de commandes.




7. Tapez ipconfig /egisterdns, puis appuyez sur Entrée.


9. Cliquez du bouton droit sur la zone 10.in-addr.arpa et choisissez Actualiser.

10. Examinez les enregistrements de ressource qui sont apparus.11. Revenez à l'invite de commandes.

12. Tapez nslookup www.development.contoso.com, puis appuyez sur Entrée.

Notez que le serveur DNS interrogé à l'adresse 10.0.0.12 est désormais résolupar son nom.

Résultats : à la fin de cet exercice, vous aurez créé une zone de recherche inversée ettesté son fonctionnement.




Exercice 3 : Exploration de l'emplacement des contrôleursde domaineDans cet exercice, vous allez examiner les enregistrements de ressource qui

permettent aux clients de localiser des contrôleurs de domaine.Les tâches principales de cet exercice sont les suivantes :

1. Explorer le domaine _tcp.

2. Explorer le domaine _tcp.brancha._sites.contoso.com.

Tâche 1 : Exploration du domaine _tcp

• Examinez les enregistrements du domaine _tcp.contoso.com. Quereprésentent-ils ?

Tâche 2 : Exploration du domaine _tcp.brancha._sites.contoso.com

• Examinez les enregistrements du domaine _tcp.brancha._sites.contoso.com.Que représentent-ils ?

Résultats : à la fin de cet exercice, vous aurez examiné les enregistrements SRV dudomaine contoso.com.




Exercice 4 : Configuration de la résolution des noms pourdes domaines externesDans cet exercice, vous allez configurer la résolution des noms entre deux

domaines entièrement distincts.Les tâches principales de cet exercice sont les suivantes :

1. Configurer une zone de stub.

2. Configurer un redirecteur conditionnel.

3. Valider la résolution des noms pour des domaines externes.

Tâche 1 : Configuration d'une zone de stub

• Dans HQDC02, créez une zone de stub pour tailspintoys.com qui renvoie à

l'adresse IPv4 10.0.0.31 pour le serveur maître.

Tâche 2 : Configuration d'un redirecteur conditionnel

1. Dans TSTDC01, exécutez le Gestionnaire DNS en tant qu'administrateur, avecle compte Sara.Davis_Admin et le mot de passe Pa$$w0rd.

2. Pour le domaine contoso.com, créez un redirecteur conditionnel qui renvoie àl'adresse IPv4 10.0.0.11.

Tâche 3 : Validation de la résolution des noms pour des domainesexternes

1. Dans TSTDC01, ouvrez une invite de commande et tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Cette commandedoit renvoyer l'adresse 10.0.0.24.

2. Basculez dans le Gestionnaire DNS et créez un enregistrement d'hôte (A) pourwww.tailspintoys.com qui renvoie 10.0.0.143.

3. Dans HQDC02, ouvrez une invite de commande et tapez nslookup www.tailspintoys.com, puis appuyez sur Entrée. Cette commande doitrenvoyer l'adresse 10.0.0.143.

Résultats : à la fin de cet exercice, vous aurez configuré la résolution des noms DNSentre les domaines contoso.com et tailspintoys.com.




Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez lesdisques d'annulation.


Question : Dans cet atelier, vous avez utilisé une zone de stub et un redirecteurconditionnel pour fournir la résolution des noms entre deux domaines distincts.Quelles autres options auriez-vous pu choisir ?



Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS) 11-1

Module 11Administration des contrôleurs de domaine desServices de domaine Active Directory® (AD DS)

Table des matières :

Leçon 1 : Options d'installation des contrôleurs de domaine 11-4Atelier pratique A : Installation des contrôleurs de domaine 11-33

Leçon 2 : Installation d'un contrôleur de domaine Server Core 11-41

Atelier pratique B : Installation d'un contrôleur de domaine Server Core 11-50

Leçon 3 : Gestion des maîtres d'opérations 11-55

Atelier pratique C : Transfert des rôles de maître d'opérations 11-74

Leçon 4 : Configuration de la réplication DFSR du dossier SYSVOL 11-79

Atelier pratique D : Configuration de la réplication DFSR du dossier

SYSVOL 11-87





Les contrôleurs de domaine hébergent le service d'annuaire et exécutent lesservices qui assurent la gestion des identités et des accès dans une entreprise Windows®. À ce stade du cours, vous avez appris à prendre en charge lescomposants logiques et de gestion d'une infrastructure de service d'annuaire ActiveDirectory® : utilisateurs, groupes, ordinateurs et Stratégie de groupe. Chacun de cescomposants est stocké dans la base de données de l'annuaire et dans le volumeSYSVOL des contrôleurs de domaine. Dans ce module, vous allez commencer àétudier les composants de niveau de service d'Active Directory, en commençant parles contrôleurs de domaine eux-mêmes. Vous apprendrez à ajouter des contrôleursde domaine Windows Server® 2008 à une forêt ou un domaine, à préparer uneforêt ou un domaine Windows Server 2003 pour son premier contrôleur dedomaine Windows Server 2008, à gérer les rôles exécutés par les contrôleurs dedomaine et à migrer la réplication du volume SYSVOL du Service de réplication defichiers (FRS) utilisé dans les versions précédentes de Windows vers le mécanismede Réplication du système de fichiers distribués (DFS) assurant une réplicationplus robuste et plus facile à gérer.





• installer un contrôleur de domaine standard ou en lecture seule dans des

arborescences ou des domaines, nouveaux ou existants ;• ajouter et supprimer des contrôleurs de domaine à l'aide de diverses méthodes

d'interface graphique utilisateur ou de ligne de commande ;

• configurer un contrôleur de domaine sur Server Core ;

• comprendre et identifier les rôles de maître d'opérations ;

• gérer l'emplacement, le transfert et la cessation des rôles de maîtred'opérations ;

• migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers laRéplication du système de fichiers distribué (DFSR).




Leçon 1

Options d'installation des contrôleurs dedomaine

Au Module 1, « Présentation des Services de domaine Active Directory », vous avezutilisé l'Assistant Ajout de rôles du Gestionnaire de serveur pour installer lesServices de domaine Active Directory (AD DS). Vous avez ensuite utilisé l'AssistantInstallation des services de domaine Active Directory pour créer le premiercontrôleur de domaine de la forêt contoso.com. Les contrôleurs de domaine étantessentiels pour l'authentification, il est fortement recommandé d'en utiliser aumoins deux dans chaque domaine de votre forêt afin d'assurer un niveau suffisantde tolérance de panne en cas de défaillance de l'un d'entre eux. Vous serez peut-être également amené à ajouter des contrôleurs de domaine à des sites distants ouà créer de nouveaux domaines ou de nouvelles arborescences dans votre forêt Active Directory. Dans cette leçon, vous allez apprendre à utiliser trois méthodes

(interface utilisateur, ligne de commande et sans assistance) pour installer descontrôleurs de domaine dans divers scénarios.





• installer un contrôleur de domaine à l'aide de l'interface Windows, des

paramètres de ligne de commande de la commande dcpromo.exe ou d'unfichier de réponses pour une installation sans assistance ;

• ajouter des contrôleurs de domaine Windows Server 2008 dans un domaineou une forêt doté(e) de contrôleurs de domaine Windows Server 2003 et Windows 2000 Server ;

• créer de nouveaux domaines et de nouvelles arborescences ;

• exécuter l'installation intermédiaire d'un contrôleur de domaine en lectureseule ;

• installer un contrôleur de domaine à partir d'un support d'installation afin de

réduire la réplication réseau ;• supprimer un contrôleur de domaine.




Installation d'un contrôleur de domaine avec l'interfaceWindows

Points clésL'installation d'un contrôle de domaine avec l'interface Windows comprend deuxétapes majeures. D'abord, vous devez installer le rôle AD DS qui, comme vousl'avez étudié au Module 1 « Présentation des Services de domaine ActiveDirectory », peut être effectué via l'Assistant Ajout de rôles du Gestionnaire deserveur. Lorsque l'installation du rôle AD DS a copié les fichiers binairesnécessaires au rôle sur le serveur, vous devez installer et configurer AD DS enlançant l'Assistant Installation des services de domaine Active Directory, à l'aide del'une des méthodes suivantes :

• Cliquez sur Démarrer et tapez dcpromo dans le champ Rechercher. Cliquezensuite sur OK . Une fois l'Assistant Ajout de rôles terminé, cliquez sur le lien Assistant Installation des services de domaine Active Directory.

• Lorsque le rôle AD DS a été ajouté, des liens s'affichent dans le Gestionnaire deserveur pour vous rappeler d'exécuter l'Assistant Installation des services dedomaine Active Directory. Cliquez sur l'un de ces liens.




Remarque : Assistant tout-en-un. La documentation Microsoft sur Windows Server2008 met en évidence le modèle à base de rôles et vous recommande d'ajouter le rôleAD DS, puis d'exécuter la commande Dcpromo.exe (l'Assistant Installation des services de

domaine Active Directory). Vous pouvez cependant vous contenter d'exécuterDcpromo.exe et, au cours de la première étape, l'Assistant s'apercevra que les fichiersbinaires AD DS ne sont pas installés et ajoutera automatiquement le rôle AD DS.




Fichier de réponses et options d'installation sans assistance

Points clés Vous pouvez également ajouter ou supprimer un contrôleur de domaine au niveau dela ligne de commande, via l'installation sans assistance prise en charge par la version

Windows Server 2008 de la commande dcpromo.exe. Les options de l'installationsans assistance fournissent les valeurs nécessaires à l'Assistant Installation des servicesde domaine Active Directory. Par exemple, l'option NewDomainDNSName spécifie lenom de domaine complet (FQFN) d'un nouveau domaine.

Ces options peuvent être fournies à la ligne de commande en tapant dcpromo /OptionSansAssistance:valeur , par exemple, dcpromo /newdomaindnsname:contoso.com. Vous pouvez également fournir ces optionsdans un fichier de réponses d'installation sans assistance. Le fichier de réponses estun fichier texte qui contient un titre de section, [DCINSTALL], suivi des options etde leurs valeurs au format option=valeur . Le fichier suivant, par exemple, fournit

l'option NewDomainDNSName :[DCINSTALL]

NewDomainDNSName=contoso.com




Le fichier de réponses est appelé en ajoutant son chemin d'accès dans le paramètreunattend, par exemple :

dcpromo /unattend:"chemin d'accès du fichier de réponses"

Les options du fichier de réponses peuvent être remplacées par des paramètres surla ligne de commande. Par exemple, si l'option NewDomainDNSName est spécifiéedans le fichier de réponses et que le paramètre /NewDomainDNSName est utilisésur la ligne de commande, la valeur de ce paramètre est prioritaire. Lorsque l'unedes valeurs requises n'est définie ni dans le fichier de réponses, ni sur la ligne decommande, l'Assistant Installation des services de domaine Active Directory vousinvite à définir les réponses. Vous pouvez donc utiliser le fichier de réponses pourautomatiser partiellement l'installation, en fournissant un sous-ensemble devaleurs de configuration à utiliser pendant l'installation interactive.

L'Assistant n'est pas disponible lorsque la commande dcpromo.exe est exécutéedepuis la ligne de commande de Server Core. Dans ce cas, la commande

dcpromo.exe renvoie un code d'erreur.Pour obtenir la liste complète des paramètres que vous pouvez spécifier dans lecadre d'une installation sans assistance de AD DS, ouvrez une invite de commandeélevée et tapez la commande suivante :

dcpromo /?[:opération]

où opération correspond à l'un des éléments suivants :

• Promotion renvoie tous les paramètres utilisables lors de la création d'uncontrôleur de domaine.

• CreateDCAccount renvoie tous les paramètres utilisables lors de la créationd'un compte prédéfini pour un Contrôleur de domaine en lecture seule(RODC, Read-Only Domain Controller).

• UseExistingAccount renvoie tous les paramètres utilisables pour relier unnouveau contrôleur de domaine à un compte RODC prédéfini.

• Demotion renvoie tous les paramètres utilisables pour supprimer uncontrôleur de domaine.




Remarque : générez un fichier de réponses. Lorsque vous utilisez l'interface Windowspour créer un contrôleur de domaine, la page Résumé de l'Assistant Installation desservices de domaine Active Directory vous permet d'exporter vos paramètres dans un

fichier de réponses. Si vous devez créer un fichier de réponses à utiliser depuis la ligne decommande (par exemple, sur une installation Server Core), ce raccourci vous permet decréer un fichier de réponses contenant les options et les valeurs appropriées.

Lectures complémentaires

• Les références complètes des paramètres de la commande dcpromo et desoptions d'installation sans assistance sont disponibles à l'adresse :http://go.microsoft.com/fwlink/?LinkId=168475




Installation d'une nouvelle forêt Windows Server 2008

Points clésLe Module 1, « Présentation des Services de domaine Active Directory » présentaitl'installation du premier contrôleur de domaine Windows Server 2008 dans une

nouvelle forêt, via l'interface Windows. Dans ce module, vous avez étudié laprocédure détaillée permettant d'ajouter le rôle AD DS à un serveur à l'aide duGestionnaire de serveur, puis d'exécuter la commande Dcpromo.exe pourpromouvoir le serveur en contrôleur de domaine. Lorsque vous créez un nouveaudomaine racine dans une forêt, vous devez spécifier le nom DNS de ce domaine,son nom NetBIOS et les niveaux fonctionnels du domaine et de la forêt. Le premiercontrôleur de domaine ne peut pas être en lecture seule et doit être un serveur deCatalogue global (GC). Si l'Assistant Installation des services de domaine ActiveDirectory s'aperçoit qu'il est nécessaire d'installer et de configurer le système DNS,il le fait automatiquement.




Vous pouvez également utiliser un fichier de réponses en tapant dcpromo/unattend:"chemin d'accès du fichier de réponses" (celui contenant les options et lesvaleurs de l'installation sans assistance). L'exemple suivant contient les paramètresminimaux pour l'installation sans assistance d'un nouveau contrôleur de domaine

Windows Server 2008 dans une nouvelle forêt :[DCINSTALL]

ReplicaOrNewDomain=domainNewDomain=forest

NewDomainDNSName=nom DNS complet

DomainNetBiosName=nom NetBIOS du domaine

ForestLevel={0=Windows 2000 Server Native;

2=Windows Server 2003 Native;

3=Windows Server 2008}

DomainLevel={0=Windows Server 2000 Native;

2=Windows Server 2003 Native;

3=Windows Server 2008}

InstallDNS=yes

DatabasePath="chemin d'accès au dossier dans un volume local"

LogPath="chemin d'accès au dossier dans un volume local"SYSVOLPath="chemin d'accès au dossier dans un volume local"

SafeModeAdminPassword=mot de passe

RebootOnCompletion=yes

Vous pouvez également spécifier un ou plusieurs paramètres et valeursd'installation sans assistance sur la ligne de commande. Par exemple, si vous nevoulez pas du mot de passe du Mode de restauration des services d'annuaire dansle fichier de réponses, ne renseignez pas l'entrée et spécifiez le paramètre/SafeModeAdminPassword:mot de passe lorsque vous exécutez la commande

dcpromo.exe. Vous pouvez également inclure toutes les options sur la ligne de commande elle-même. L'exemple suivant crée le premier contrôleur de domaine d'une nouvelleforêt dans laquelle vous n'envisagez pas d'installer de contrôleurs de domaine Windows Server 2003 :

dcpromo /unattend /installDNS:yes /dnsOnNetwork:yes

/replicaOrNewDomain:domain /newDomain:forest

/newDomainDnsName:contoso.com /DomainNetbiosName:contoso

/databasePath:"e:\ntds" /logPath:"f:\ntdslogs"/sysvolpath:"g:\sysvol"

/safeModeAdminPassword:password /forestLevel:3 /domainLevel:3

/rebootOnCompletion:yes




Préparation d'un domaine existant aux contrôleurs de domaineWindows Server 2008

Points clésSi vous avez une forêt existante dotée de contrôleurs de domaine exécutant Windows Server 2003 ou Windows 2000 Server, vous devez les préparer avant decréer votre premier contrôleur de domaine Windows Server 2008.

La commande ADPrep permet de préparer Active Directory à un contrôleur dedomaine exécutant une version de Windows Server plus récente que celle exécutéepar les contrôleurs de domaine existants dans la forêt ou le domaine. Adprep.exeest un outil de ligne de commande inclus dans le disque d'installation de chaqueversion de Windows Server. Adprep.exe exécute les opérations à effectuer dans unenvironnement Active Directory existant avant de pouvoir ajouter un contrôleur dedomaine fonctionnant sous cette version de Windows Server.




Les paramètres de la commande Adprep.exe exécutent diverses opérations quipréparent l'environnement Active Directory existant à un contrôleur de domaineexécutant une version plus récente de Windows Server. Toutes les versions de lacommande Adprep.exe n'exécutent pas les mêmes opérations, mais les différents

types d'opérations incluent généralement les suivants :• mise à jour du schéma Active Directory ;

• mise à jour des descripteurs de sécurité ;

• modification des listes de contrôle d'accès (ACL) des objets Active Directory etdes fichiers du dossier partagé SYSVOL ;

• création de nouveaux objets, selon les besoins ;

• création de nouveaux conteneurs, selon les besoins.

Pour préparer la forêt au premier contrôleur de domaine exécutant Windows

Server 2008, procédez comme suit :

1. Ouvrez une session sur le contrôleur de schéma en tant que membre desgroupes Administrateurs de l'entreprise, Administrateurs du schéma et Administrateurs du domaine.

La leçon 3 présente les maîtres d'opérations et la procédure qui permetd'identifier le contrôleur de domaine correspondant au contrôleur de schéma.

2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du contrôleur de schéma.

3. Ouvrez une invite de commande élevée et placez-vous dans le dossier adprep.

4. Tapez adprep /forestprep et appuyez sur ENTRÉE.

Patientez jusqu'à la fin de l'opération. Dès que les modifications sont répliquéesdans toute la forêt, vous pouvez continuer à préparer les domaines pour WindowsServer 2008.




Pour préparer un domaine au premier contrôleur de domaine exécutant WindowsServer 2008, procédez comme suit :

1. Ouvrez une session sur le maître d'opérations de l'infrastructure du domaineen tant que membre du groupe Administrateurs du domaine.

La leçon 3 décrit la procédure qui permet d'identifier le contrôleur de domainecorrespondant au maître d'opérations de l'infrastructure.

2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du maître d'infrastructure.

3. Ouvrez une invite de commande et placez-vous dans le dossier adprep.

4. Tapez adprep /domainprep /gpprep et appuyez sur ENTRÉE.

Sous Windows Server 2003, un message peut vous signaler que les mises à jourétaient inutiles. Vous pouvez ignorer ce message.

Autorisez la réplication de la modification dans toute la forêt avant d'installer uncontrôleur de domaine exécutant Windows Server 2008.

Pour préparer AD DS au premier contrôleur de domaine en lecture seule (RODC),procédez comme suit :

1. Ouvrez une session sur un ordinateur quelconque en tant que membre dugroupe Administrateurs de l'entreprise.

2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier de l'ordinateur.

3. Ouvrez une invite de commande élevée et placez-vous dans le dossier adprep.4. Tapez adprep /rodcprep et appuyez sur ENTRÉE.

RODCPREP, à tout moment. Vous pouvez également exécuter la commandeadprep /rodcprep à tout moment dans une forêt Windows 2000 Server ou Windows Server 2003. Cette commande ne doit pas obligatoirement être exécutéeavec /forestprep. Vous devez toutefois l'exécuter et autoriser la réplication de sesmodifications dans toute la forêt avant d'installer le premier contrôleur de domaineen lecture seule.




Lectures complémentaires• Exécution de la commande Adprep.exe :


• Commande ADPrep :http://go.microsoft.com/fwlink/?LinkId=168478

• Windows Server 2008 : Annexe des modifications apportées à la commande Adprep.exe pour la prise en charge de AD DS :http://go.microsoft.com/fwlink/?LinkId=168479




Installation d'un contrôleur de domaine supplémentairedans un domaine

Points clésIl est possible d'ajouter d'autres contrôleurs de domaine en installant AD DS et enlançant l'Assistant Installation des services de domaine Active Directory. Vous êtesdans ce cas invité à choisir la configuration du déploiement, à saisir desinformations d'identification réseau, à sélectionner un domaine et un site pour lenouveau contrôleur de domaine et à configurer le contrôleur de domaine avecd'autres options telles que Serveur DNS, Catalogue global (GC) ou Contrôleur dedomaine en lecture seule (RODC). Les étapes restantes sont les mêmes que pour lepremier contrôleur de domaine : configuration des emplacements de fichiers et dumot de passe administrateur de restauration des services d'annuaire.




Lorsqu'un domaine comprend un contrôleur de domaine et que vous cochez lacase Utiliser l'installation en mode avancé de la page d'accueil de l'AssistantInstallation des services de domaine Active Directory, vous pouvez configurer lesoptions avancées, notamment :

• Installation à partir du support : par défaut, un nouveau contrôleur dedomaine réplique toutes les données de toutes les partitions de l'annuaire qu'ilhébergera à partir d'autres contrôleurs de domaine pendant l'exécution del'Assistant Installation des services de domaine Active Directory. Pouraméliorer les performances de l'installation, en particulier dans le cas deliaisons lentes, vous pouvez utiliser le support d'installation créé par lescontrôleurs de domaine existants. Ce support d'installation est une forme desauvegarde. Le nouveau contrôleur de domaine est capable de lire les donnéesdirectement à partir du support d'installation, puis il ne réplique que les misesà jour issues d'autres contrôleurs de domaine. L'Installation à partir dusupport (IFM) est détaillée à la section « Installation des services de domaine

Active Directory à partir du support ».• Contrôleur de domaine source : si vous voulez désigner le contrôleur de

domaine à partir duquel le nouveau contrôleur de domaine réplique sesdonnées, cliquez sur Utiliser ce contrôleur de domaine spécifique.

Remarque : la commande Dcpromo /adv est toujours prise en charge. Sous WindowsServer 2003, la commande dcpromo /adv permettait de définir des options d'installationavancées. Le paramètre adv est toujours pris en charge. Il présélectionne l'option Utiliserl'installation en mode avancé de la page d'accueil.

Pour utiliser la commande Dcpromo.exe avec des paramètres de ligne decommande pour spécifier des options d'installation sans assistance, vous pouvezutiliser les paramètres minimaux illustrés dans l'exemple suivant :

dcpromo /unattend /replicaOrNewDomain:replica

/replicaDomainDNSName:contoso.com /installDNS:yes /confirmGC:yes

/databasePath:"e:\ntds" /logPath:"f:\ntdslogs"

/sysvolpath:"g:\sysvol"

/safeModeAdminPassword:password /rebootOnCompletion:yes




Si vous n'êtes pas connecté au serveur avec des informations d'identification dedomaine, spécifiez également les paramètres domaineUtilisateur et nomUtilisateur . Voici un fichier de réponses minimal pour ajouter un contrôleur de domainesupplémentaire dans un domaine existant :

[DCINSTALL]

ReplicaOrNewDomain=replicaReplicaDomainDNSName=nom complet du domaine à joindre

UserDomain=nom complet du domaine du compte utilisateur

UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine)

Password=mot de passe de l'utilisateur spécifié par UserName (* pour

l'invite)

InstallDNS=yes

ConfirmGC=yes


LogPath="chemin d'accès au dossier dans un volume local"

SYSVOLPath="chemin d'accès au dossier dans un volume local"






Installation d'un nouveau domaine enfant Windows Server2008

Points clésSi vous avez déjà un domaine existant, vous pouvez créer un nouveau domaineenfant en créant un contrôleur de domaine Windows Server 2008. Avantd'effectuer cette opération, toutefois, vous devez exécuter la commande adprep /forestprep selon les descriptions de la section précédente, « Préparation d'undomaine existant aux contrôleurs de domaine Windows Server 2008 ».

Installez ensuite AD DS et lancez l'Assistant Installation des services de domaine Active Directory, puis cliquez sur Forêt existante et Créer un nouveau domainedans une forêt existante dans la page Choisissez une configuration dedéploiement. Vous êtes alors invité à sélectionner le niveau fonctionnel dudomaine. Comme il s'agit du premier contrôleur du domaine, il ne peut pas être enlecture seule et ne peut pas être installé à partir du support. Si vous cochez la case

Utiliser l'installation en mode avancé de la page d'accueil, l'Assistant présente lapage Contrôleur de domaine source qui vous permet de définir le contrôleur dedomaine à partir duquel s'effectuera la réplication de la configuration et despartitions du schéma.




La commande dcpromo.exe permet de créer un domaine enfant avec les optionsminimales illustrées dans la commande suivante :

dcpromo /unattend /installDNS:yes

/replicaOrNewDomain:domain /newDomain:child

/ParentDomainDNSName:contoso.com/newDomainDnsName:subsidiary.contoso.com /childName:subsidiary

/DomainNetbiosName:subsidiary/databasePath:"e:\ntds" /logPath:"f:\ntdslogs"


/safeModeAdminPassword:password /forestLevel:3 /domainLevel:3


Ces mêmes paramètres minimaux se reflètent dans le fichier de réponses suivant :

[DCINSTALL]

ReplicaOrNewDomain=domain

NewDomain=child

ParentDomainDNSName=nom complet du domaine parentUserDomain=nom complet de l'utilisateur spécifié par UserName

UserName=DOMAIN\username (avec l'autorisation d'ajouter un domaine

enfant)

Password=mot de passe de l'utilisateur spécifié par UserName ou * pour

l'invite

ChildName=préfixe en une partie du domaine

(le nom complet du domaine enfant sera

NomEnfant.NomCompletDomaineParent)DomainNetBiosName=nom NetBIOS du domaine

DomainLevel=niveau fonctionnel du domaine (non inférieur au niveau

actuel de la forêt)InstallDNS=yes

CreateDNSDelegation=yesDNSDelegationUserName=DOMAIN\nom d'utilisateur avec autorisation de

créer

une délégation DNS, si différent de UserName, ci-dessus

DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour

l'invite









Installation d'une nouvelle arborescence de domaine dansune forêt

Points clés Au Module 1, « Présentation des Services de domaine Active Directory », vous avezappris que, dans une forêt Active Directory, l'arborescence se composait d'un ou deplusieurs domaines partageant un espace de noms DNS contigu. Par exemple, lesdomaines contoso.com et subsidiary.contoso.com seraient placés dans une mêmearborescence.

Les autres arborescences correspondent simplement à d'autres domaines de lamême forêt mais qui n'appartiennent pas au même espace de noms. Par exemple,si la société Contoso faisait l'acquisition de la société Tailspin Toys, le domainetailspintoys.com serait dans une autre arborescence du domaine. D'un point de vuefonctionnel, il n'existe que très peu de différence entre un domaine enfant et undomaine d'une autre arborescence, et la procédure de création d'une nouvelle

arborescence est, par conséquent, très proche de celle d'un domaine enfant.




D'abord, vous devez exécuter la commande adprep /forestprep selon lesdescriptions de la section précédente, « Préparation d'un domaine existant auxcontrôleurs de domaine Windows Server 2008 ». Vous pouvez ensuite installer ADDS et exécuter l'Assistant Installation des services de domaine Active Directory.

Dans la page d'accueil de l'Assistant, vous devez sélectionner Utiliser l'installationen mode avancé. Dans la fenêtre Choisissez une configuration de déploiement,cliquez sur Forêt existante, sélectionnez Créer un nouveau domaine dans une forêtexistante, puis Créer une nouvelle racine d'arborescence de domaine au lieu d'unnouveau domaine enfant. La suite de la procédure est la même que pour lacréation d'un nouveau domaine enfant.

Les options suivantes, fournies sous forme de paramètres de la commandedcpromo.exe, créent une nouvelle arborescence pour le domaine tailspintoys.comdans la forêt contoso.com :

dcpromo /unattend /installDNS:yes

/replicaOrNewDomain:domain /newDomain:tree/newDomainDnsName:tailspintoys.com /DomainNetbiosName:tailspintoys


/sysvolpath:"g:\sysvol"/safeModeAdminPassword:password /domainLevel:2


Le niveau fonctionnel du domaine étant configuré sur 2 (Windows Server 2003Natif), le domaine peut inclure des contrôleurs de domaine Windows Server 2003.




Voici un fichier de réponses d'installation sans assistance qui crée la mêmearborescence :

[DCINSTALL]

ReplicaOrNewDomain=domain

NewDomain=treeNewDomainDNSName=nom complet du nouveau domaine

DomainNetBiosName=nom NetBIOS du nouveau domaineUserDomain=nom complet de l'utilisateur spécifié par UserName

UserName=DOMAINE\nomUtilisateur (avec autorisation de créer un nouveau

domaine)

Password=mot de passe de l'utilisateur spécifié par UserName ou * pour

l'invite

DomainLevel=niveau fonctionnel du domaine (non inférieur au niveau

actuel de la forêt)

InstallDNS=yes

ConfirmGC=yes

CreateDNSDNSDelegation=yes

DNSDelegationUserName=compte avec autorisation de créer une délégationDNS

requis uniquement si différent de UserName, ci-dessus

DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour

l'inviteDatabasePath="chemin d'accès au dossier dans un volume local"








Installation intermédiaire d'un contrôleur de domaine enlecture seule

Points clésComme vous l'avez vu au Module 9, « Amélioration de la sécurité del'authentification dans un domaine Services de domaine Active Directory (AD DS) »,les contrôleurs de domaine en lecture seule sont conçus pour prendre en charge lesscénarios de filiales en assurant une authentification locale pour le site tout enréduisant les risques de sécurité et d'intégrité des données associés au placementd'un contrôleur de domaine dans un environnement moins bien contrôlé. Le plussouvent, la filiale ne dispose que d'un personnel informatique très limité, voire pasdu tout. Dans ce cas, comment créer un contrôleur de domaine dans une filiale ?

Pour répondre à cette question, Windows Server 2008 vous permet de créer uneinstallation intermédiaire, ou déléguée, d'un contrôleur de domaine en lectureseule. La procédure comprend deux étapes :

• Création du compte du contrôleur de domaine en lecture seule (RODC) : unmembre du groupe Admins du domaine crée un compte pour le RODC dans Active Directory. Les paramètres liés au RODC sont spécifiés à ce stade : le nom,le site Active Directory dans lequel le RODC sera créé et, éventuellement,l'utilisateur ou le groupe autorisé à exécuter l'a prochaine étape de l'installation.




• Association du serveur au compte RODC : une fois le compte créé, AD DS estinstallé. Le serveur, qui doit être membre d'un groupe de travail et non dudomaine, est alors lié au domaine et au compte prédéfini en tant que RODC.Ces étapes peuvent être effectuées par les utilisateurs ou les groupes définislors de la création du compte intermédiaire du RODC. Ces utilisateurs n'ontpas besoin d'appartenir à un groupe avec privilèges. Un membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise peutégalement associer un serveur, mais la délégation potentielle de cette phase àun utilisateur sans privilège simplifie grandement le déploiement des RODCdans les filiales non dotées de service informatique. Le contrôleur de domainerépliquera ses données à partir d'un autre contrôleur du domaine inscriptible.La méthode IFM présentée à la section « Installation des services de domaine Active Directory à partir du support » peut également être utilisée.

Création du compte intermédiaire du RODC

Pour créer le compte du RODC dans le composant logiciel enfichable Utilisateurset ordinateurs Active Directory, cliquez du bouton droit sur l'unité d'organisationContrôleurs de domaine et choisissez Créer au préalable un compte de contrôleurde domaine en lecture seule. L'Assistant qui s'affiche ressemble beaucoup àl'Assistant Installation des services de domaine Active Directory. Il vous invite àspécifier le nom et le site du RODC. Vous pouvez également configurer la stratégiede réplication des mots de passe, selon les instructions du Module 9,« Amélioration de la sécurité de l'authentification dans un domaine Services dedomaine Active Directory (AD DS) ».

La page Délégation de l'installation et de l'administration du contrôleur dedomaine en lecture seule (RODC), vous permet de spécifier une entité de sécurité,

utilisateur ou groupe, pouvant associer le serveur au compte du RODC que vouscréez. L'utilisateur ou le groupe disposera de droits d'administration sur le RODCaprès l'installation. Il est recommandé de désigner un groupe plutôt qu'unutilisateur. Si vous ne désignez pas un utilisateur ou un groupe, seuls les membresdes groupes Administrateurs du domaine ou Administrateurs de l'entreprisepeuvent associer le serveur au compte.

Vous pouvez créer des comptes RODC prédéfinis en utilisant la commandedcpromo.exe avec de nombreux paramètres ou en créant un fichier de réponsespour la commande dcpromo.exe. Vous trouverez la procédure appropriée àl'adresse : http://go.microsoft.com/fwlink/?LinkId=168471.




Association d'un serveur à un compte RODC prédéfini

Points clésUne fois le comte prédéfini, vous pouvez lui associer un serveur.

Pour associer un serveur à un compte RODC prédéfini :1. Vérifiez que le serveur est membre d'un groupe de travail et non du domaine.

Promotion à partir d'un groupe de travail. Lorsque vous créez un RODC parl'approche intermédiaire (c'est-à-dire lorsque vous associez un RODC à uncompte prédéfini), le serveur doit être membre d'un groupe de travail, pas dudomaine, lorsque vous lancez la commande dcpromo.exe ou l'AssistantInstallation des services de domaine Active Directory. L'Assistant rechercherale compte existant par son nom dans le domaine et l'associera à ce compte.

2. Exécutez dcpromo.exe /UseExistingAccount:attach.

L'Assistant vous demande des informations d'identification réseau, puislocalise le compte RODC désigné par ces informations dans le domaine. Lesétapes restantes sont les mêmes que pour les autres opérations de promotionde contrôleurs de domaine.




Pour utiliser un fichier de réponses, fournissez les options et valeurs suivantes :

[DCINSTALL]

ReplicaDomainDNSName=nom complet du domaine à joindreUserDomain=nom complet de l'utilisateur spécifié par UserName

UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine)Password=mot de passe de l'utilisateur spécifié par UserNameInstallDNS=yes

ConfirmGC=yes






Exécutez la commande dcpromo avec les options /unattend:"chemin d'accès dufichier de réponses” et /UseExistingAccount:Attach, comme dans l'exemplesuivant :

dcpromo /useexistingaccount:attach /unattend:"c:\rodcanswer.txt"

Toutes les options indiquées dans le fichier de réponses peuvent également êtrespécifiées ou remplacées directement sur la ligne de commande. Saisissezsimplement une commande similaire à celle-ci :

dcpromo /unattend /UseExistingAccount:Attach

/ReplicaDomainDNSName:contoso.com

/UserDomain:contoso.com /UserName:contoso\dan /password:*



/safeModeAdminPassword:password /rebootOnCompletion:yes




Installation d'AD DS à partir du support

Points clésLorsque vous ajoutez des contrôleurs de domaine à une forêt, les donnéesexistantes des partitions de l'annuaire sont répliquées dans le nouveau contrôleur

de domaine. Dans un environnement doté d'un annuaire très volumineux oulorsque la bande passante est limitée entre un nouveau DC et le DC inscriptible àpartir duquel la réplication doit s'effectuer, l'option d'installation à partir dusupport (IFM) permet d'installer AD DS plus efficacement.

L'installation à partir du support implique la création d'un support d'installation,sauvegarde spéciale d'Active Directory que l'Assistant Installation des services dedomaine Active Directory peut utiliser comme source de données pour renseignerl'annuaire du nouveau DC. Ce dernier ne réplique ensuite que les mises à jourissues d'un autre DC inscriptible. Ainsi, un support d'installation récent permet deréduire l'impact de la réplication dans un nouveau DC.

N'oubliez pas que la réplication vers un nouveau contrôleur de domaine neconcerne pas uniquement l'annuaire mais également le dossier SYSVOL. Lorsquevous créez votre support d'installation, vous pouvez y inclure ou non le dossierSYSVOL.




L'installation IFM vous permet également de contrôler le moment de l'impact surla bande passante du réseau. Vous pouvez par exemple créer un supportd'installation et le transférer vers un site distant en dehors des heures de bureau,puis créer le contrôleur de domaine pendant les heures ouvrables habituelles. Lesupport d'installation étant stocké dans le site local, l'impact sur le réseau estréduit, et seules les mises à jour sont répliquées via la liaison au site distant.

Pour créer un support d'installation :

1. Ouvrez une invite de commande élevée sur un contrôleur de domaineinscriptible et exécutant Windows Server 2008.

Le support d'installation permet de créer des contrôleurs de domaineinscriptibles et en lecture seule.

2. Exécutez la commande ntdsutil.exe.

3. À l'invite de commande ntdsutil, tapez activate instance ntds et appuyez sur

ENTRÉE.4. Tapez ifm et appuyez sur ENTRÉE.

5. À l'invite de commande ifm:, tapez l'une des commandes suivantes, selon letype de support d'installation que vous souhaitez créer :

• create sysvol full chemin d'accès : crée un support d'installation avecSYSVOL pour un contrôleur de domaine inscriptible dans le dossierspécifié par chemin d'accès.

• create full chemin d'accès : crée un support d'installation sans dossierSYSVOL pour un contrôleur de domaine inscriptible ou une instance desservices AD LDS (Active Directory Lightweight Directory Services) dans le

dossier spécifié par chemin d'accès.

• create sysvol rodc chemin d'accès : crée un support d'installation avecdossier SYSVOL pour un contrôleur de domaine en lecture seule dans ledossier spécifié par chemin d'accès.

• create rodc chemin d'accès : crée un support d'installation sans dossierSYSVOL pour un contrôleur de domaine en lecture seule dans le dossierspécifié par chemin d'accès.

Lorsque vous exécutez l'Assistant Installation des services de domaine ActiveDirectory, cochez la case Utiliser l'installation en mode avancé pour que l'Assistant

présente par la suite la page Installation à partir du support (IFM). ChoisissezRépliquer les données à partir du support à l'emplacement suivant. Vous pouvezutiliser l'option d'installation ReplicationSourcePath dans un fichier de réponses ouà la ligne de commande dcpromo.exe.




Suppression d'un contrôleur de domaine

Points clés Vous pouvez supprimer un contrôleur de domaine à l'aide de la commandeDcpromo.exe, en lançant l'Assistant Installation des services de domaine Active

Directory ou à partir d'une invite de commande, en définissant les options sur laligne de commande ou dans un fichier de réponses. Lorsqu'un contrôleur dedomaine est supprimé alors qu'il est connecté au domaine, il actualise lesmétadonnées de la forêt relatives à ce contrôleur de domaine afin d'en signaler lasuppression à l'annuaire.




Pour utiliser un fichier de réponses, fournissez les options et valeurs suivantes :

[DCINSTALL]

UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine)UserDomain=nom complet de l'utilisateur spécifié par UserName

Password=mot de passe de l'utilisateur spécifié par UserNameAdministratorPassword=mot de passe qui sera attribué àl'Administrateur local

RemoveApplicationPartitions=yes

RemoveDNSDelegation=yes

DNSDelegationUserName=DOMAINE\nom d'utilisateur autorisé à supprimer

la délégation DNS

DNSDelegationPassword=mot de passe du compte

Exécutez la commande dcpromo avec les options /unattend:"chemin d'accès dufichier de réponses" et /UninstallBinaries, comme dans l'exemple suivant :

dcpromo /uninstallbinaries /unattend:"c:\rodcanswer.txt"

Toutes les options indiquées dans le fichier de réponses peuvent également êtrespécifiées ou remplacées directement sur la ligne de commande. Saisissezsimplement une commande similaire à celle-ci :

dcpromo /unattend /uninstallbinaries

/UserName:contoso\dan

/password:*

/administratorpassword:Pa$$w0rd

Lorsqu'un contrôleur de domaine doit être rétrogradé alors qu'il ne peut pas

contacter le domaine, vous devez utiliser l'option forceremoval de la commandedcpromo.exe. Tapez dcpromo /forceremoval, et laissez-vous guider par l'AssistantInstallation des services de domaine Active Directory. L'assistant vous présente desavertissements sur les rôles hébergés par le contrôleur de domaine. Lisez chaqueavertissement et, après en avoir réduit ou accepté l'impact, cliquez sur Oui. Vouspouvez supprimez les avertissements via l'option demotefsmo:yes de la commandedcpromo.exe. Après la suppression du contrôleur de domaine, vous devez nettoyermanuellement les métadonnées de la forêt.

Lectures complémentaires• Pour plus d'informations sur la suppression d'un contrôleur de domaine,

consultez http://go.microsoft.com/fwlink/?LinkId=168480.• Pour plus d'informations sur le nettoyage des métadonnées, consultez l'article

216498 de la Base de connaissances Microsoft. Cet article est disponible àl'adresse http://go.microsoft.com/fwlink/?LinkId=80481.




Atelier pratique A : Installation de contrôleursde domaine

Scénario

Vous avez été engagé pour remplacer l'ancien administrateur de la société Contoso,Ltd. La première chose que vous découvrez est que le domaine ne comprend qu'unseul contrôleur de domaine. Vous décidez d'en ajouter un second pour assurer latolérance de panne du service d'annuaire. Vous avez déjà installé un nouveauserveur nommé HQDC02.




Exercice 1 : Création d'un contrôleur de domainesupplémentaire avec l'Assistant Installation des services dedomaine Active Directory

Dans cet exercice, vous allez utiliser l'Assistant Installation des services de domaine Active Directory (DCPromo.exe) pour créer un contrôleur de domainesupplémentaire dans le domaine contoso.com. Toutefois, vous ne terminerez pasl'installation mais enregistrerez les paramètres sous la forme d'un fichier deréponses que vous utiliserez dans l'exercice suivant.



2. Promouvoir un contrôleur de domaine à l'aide de l'Assistant Installation desservices de domaine Active Directory.


• Démarrez 6238B-HQDC01-A et ouvrez une session avec le comptePat.Coleman et le mot de passe Pa$$w0rd.

• Démarrez 6238B-HQDC02-A, un serveur du groupe de travail, et ouvrez unesession en tant qu' Administrateur local avec le mot de passe Pa$$w0rd.

Tâche 2 : Promotion d'un contrôleur de domaine à l'aide de l'Assistant

Installation des services de domaine Active Directory• Dans HQDC02, exécutez DCPromo.exe. Acceptez tous les paramètres fournis

par défaut par l'Assistant Administration d'Active Directory, à l'exception deceux répertoriés ci-dessous :

• Contrôleur de domaine supplémentaire dans une forêt existante

• Domaine : contoso.com

• Autres informations d'identification : Pat.Coleman_Admin et le mot depasse Pa$$w0rd.

• Sélectionnez le domaine : contoso.com.

• Lorsqu'un avertissement vous signale qu'une adresse IP est attribuéedynamiquement à HQDC01, cliquez sur Oui, l'ordinateur utilisera uneadresse IP attribuée dynamiquement .




• Lorsqu'un avertissement vous signale que la délégation DNS estintrouvable, cliquez sur Oui.

• Mot de passe administrateur du Mode restauration des servicesd'annuaire : Pa$$w0rd

• Vérifiez vos sélections dans la page Résumé. Si l'un des paramètres estincorrect, cliquez sur Précédent pour le modifier.

• Exportez les paramètres dans un fichier stocké sur votre Bureau et nommé AdditionalDC.

• À la page Résumé, annulez l'installation du contrôleur de domaine. Necontinuez pas la procédure de l'Assistant Installation des services de domaine Active Directory.

Résultats : Au terme de cet exercice, vous aurez simulé la promotion de HQDC02 en

contrôleur de domaine.




Exercice 2 : Ajout d'un contrôleur de domaine à partir de laligne de commandeDans cet exercice, vous allez examiner le fichier de réponses que vous avez créé à

l'Exercice 1. Vous utiliserez ensuite les options d'installation du fichier de réponsespour créer une ligne de commande dcpromo.exe et installer le contrôleur dedomaine supplémentaire.


1. Créer la commande DCPromo.

2. Exécuter la commande DCPromo.

Tâche 1 : Création de la commande DCPromo

• Ouvrez le fichier

AdditionalDC.txt créé à l'Exercice 1. Examinez les réponsesdu fichier. Comprenez-vous la signification de certaines options ?

Conseil : les lignes qui commencent par un point-virgule sont descommentaires ou des lignes inactives dont les commentaires ont étésupprimés.

• Ouvrez une seconde instance du Bloc-notes, sous forme de nouveau fichiertexte. Activez le retour automatique à la ligne. Positionnez les fenêtres demanière à voir le fichier texte vide et le fichier AdditionalDC.txt de référence.

• Dans le Bloc-notes, tapez la ligne de commande dcpromo.exe comme s'ils'agissait d'une invite de commande. Identifiez la ligne de commande chargée

d'installer le contrôleur de domaine avec les mêmes options que cellesrépertoriées dans le fichier de réponses. Les paramètres de la ligne decommande prennent la forme /option:valeur alors que, dans le fichier deréponses, ils sont au format option=valeur. Configurez les valeurs Password etSafeModeAdminPassword sur Pa$$w0rd. Demandez à DCPromo deredémarrer à la fin de l'opération.

• Comme vous l'apprendrez à l'Atelier B, vous pouvez définir la valeur du motde passe sur un astérisque (*). Vous serez alors invité à saisir le mot de passelors de l'exécution de la commande.

• Une fois la commande créée, ouvrez le fichier Exercise2.txt , stocké dans le

dossier \\HQDC01\d$\Labfiles\Lab11a. Comparez la commande correctedu fichier Exercise2.txt à celle que vous avez créée à l'étape précédente. Apportez les corrections nécessaires à votre commande.




Tâche 2 : Exécution de la commande DCPromo

• Ouvrez la fenêtre d'invite de commande.

• Revenez au fichier du Bloc-notes contenant la commande dcpromo.exe quevous avez créée à l'étape 1. Désactivez le retour à la ligne, copiez la ligne decommande que vous avez créée et collez-la dans la fenêtre d'invite decommande, puis appuyez sur ENTRÉE pour exécuter la commande.

HQDC02 est promu contrôleur de domaine. Cette opération peut prendrequelques minutes.

Résultats : Au terme de cet exercice, vous aurez promu HQDC02 en tant quecontrôleur de domaine supplémentaire du domaine et de la forêt contoso.com.




Exercice 3 : Suppression d'un contrôleur de domaineDans cet exercice, vous allez supprimer un contrôleur du domaine contoso.com.


• Supprimer un contrôleur de domaine.

Tâche 1 : Suppression d'un contrôleur de domaine

• Après le redémarrage de HQDC02, ouvrez une session avec le comptePat.Coleman et le mot de passe Pa$$w0rd.

• Exécutez DCPromo en tant qu'administrateur, avec le nom d'utilisateurPat.Coleman_Admin et le mot de passe Pa$$w0rd. Acceptez tous lesparamètres présentés par défaut par l'Assistant et configurez le nouveau motde passe Administrateur sur Pa$$w0rd. Redémarrez le serveur à la fin duprocessus.

Résultats : Au terme de cet exercice, vous aurez rétrogradé HQDC02 en serveurmembre.




Exercice 4 : Création d'un contrôleur de domaine à partirdu support d'installationPour réduire la somme de réplication requise pour créer un contrôleur de

domaine, vous pouvez promouvoir le contrôleur de domaine via l'option IFM.L'option IFM implique que vous fournissiez un support d'installation, c'est-à-direen réalité une sauvegarde d'Active Directory. Dans cet exercice, vous allez créer lesupport d'installation dans HQDC01, le transférer vers HQDC02, puis simuler lapromotion de HQDC02 en contrôleur de domaine via le support d'installation.


1. Créer un support d'installation.

2. Promouvoir un contrôleur de domaine à l'aide du support d'installation.

Tâche 1 : Création d'un support d'installation1. Dans HQDC01, exécutez l'invite de commande en tant qu'administrateur, avec

le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Utilisez la commande ntdsutil.exe pour créer un support d'installation dansun dossier nommé C:\IFM.

Tâche 2 : Promotion d'un contrôleur de domaine à l'aide du support

d'installation

1. Ouvrez une session sur HQDC02 avec le compte Pat.Coleman et le mot depasse Pa$$w0rd.

2. Copiez le dossier IFM du lecteur C de HQDC01 dans le lecteur C deHQDC02.

3. Dans HQDC02, exécutez DCPromo.exe. Acceptez tous les paramètres fournispar défaut par l'Assistant Installation des services de domaine Active Directory,à l'exception de ceux répertoriés ci-dessous :

• Contrôleur de domaine supplémentaire dans une forêt existante

• Domaine : contoso.com.

• Utilisateur : Pat.Coleman_Admin et le mot de passe Pa$$w0rd.• Sélectionnez le domaine : contoso.com.




• Lorsqu'un avertissement vous signale qu'une adresse IP est attribuéedynamiquement à HQDC01, cliquez sur Oui, l'ordinateur utilisera uneadresse IP attribuée dynamiquement .

• Lorsqu'un avertissement vous signale que la délégation DNS est

introuvable, cliquez sur Oui.• Installation à partir du support : Répliquez les données à partir du support

stocké dans le dossier C:\IFM.

• Après la page Contrôleur de domaine source, annulez l'Assistant sansterminer la promotion.

Résultats : Au terme de cet exercice, vous aurez créé un support d'installation dansHQDC01 et simulé la promotion de HQDC02 en contrôleur de domaine via le supportd'installation.

Remarque : Arrêtez HQDC02, mais pas HQDC01 puisque vous allez l'utiliser dans lecadre de l'Atelier B.


Question : Pourquoi choisir d'utiliser un fichier de réponses ou une ligne decommande dcpromo.exe pour installer un contrôleur de domaine plutôt qued'utiliser l'Assistant Installation des services de domaine Active Directory ?

Question : Dans quels cas est-il justifié de créer un contrôleur de domaine à l'aided'un support d'installation ?




Leçon 2

Installation d'un contrôleur de domaine ServerCore

La plupart des organisations souhaitent implémenter une sécurité maximale pourles serveurs jouant le rôle de contrôleurs de domaine du fait de la nature sensibledes informations stockées dans l'annuaire, notamment les mots de passe desutilisateurs. Bien que la configuration à base de rôles de Windows Server 2008réduise la surface de sécurité d'un serveur en installant uniquement lescomposants et services requis par ses rôles, il est possible de réduire encoredavantage ces serveurs et leur surface de sécurité en utilisant une installationminimale (Server Core). Server Core est une installation minimale de Windows quilaisse de côté l'interface utilisateur graphique de l'Explorateur Windows etMicrosoft .NET Framework. Vous pouvez gérer l'installation minimale à distance, àl'aide des outils d'interface utilisateur graphique, mais pour configurer et gérer un

serveur localement, vous devez utiliser les outils de ligne de commande. Dans cetexercice, vous allez apprendre à créer un contrôleur de domaine via la ligne decommande dans le cadre d'une installation minimale. Vous allez égalementapprendre à supprimer des contrôleurs d'un domaine.





• Identifier les avantages et les fonctionnalités d'une installation minimale

• Installer et configurer une installation minimale• Ajouter et supprimer des services de domaine Active Directory à l'aide des

outils de ligne de commande




Fonctionnement de Server Core

Points clés Windows Server 2008 (installation minimale), plus connu sous le nom de ServerCore, est une installation minimale de Windows qui occupe environ 3 Go d'espace

disque et moins de 256 Mo de mémoire. Server Core limite les rôles de serveur etles fonctionnalités qu'il est possible d'ajouter mais améliore la sécurité et lescapacités de gestion du serveur en réduisant sa surface d'attaque. Le nombre deservices et de composants fonctionnant simultanément étant limité, les intruséventuels ont moins d'opportunités de compromettre le serveur. Server Core réduitégalement la charge de gestion du serveur, qui nécessite moins de mises à jour etde maintenance.

Server Core prend en charge neuf rôles de serveur :

• Services de domaine Active Directory (AD DS)

• Services AD LDS (Active Directory Lightweight Directory Services)

• Serveur DHCP (Dynamic Host Configuration Protocol)

• Serveur DNS




• Services de fichiers

• Serveur d'impression

• Services de diffusion multimédia en continu

• Serveur Web (IIS) (en tant que serveur Web statique, ASP.NET ne peut pasêtre installé)

• Hyper-V™ (Virtualisation Windows Server)

Server Core prend également en charge les 11 fonctionnalités facultativessuivantes :

• Cluster de basculement Microsoft

• Équilibrage de la charge réseau

• Sous-système pour les applications UNIX

• Sauvegarde Windows

• MPIO (Multipath I/O)

• Gestion du stockage amovible

• Chiffrement de lecteur BitLocker® Windows

• Protocole SNMP (Simple Network Management Protocol)

• Service WINS

• Client Telnet

• Qualité de service (QoS)

Lectures complémentaires• Option d'installation Server Core :





Installation de Windows dans sa version minimale

Points clés Vous pouvez installer Windows dans sa version minimale avec la même procédureque pour une installation complète. Les différences entre une installation complète

et une installation minimale sont, tout d'abord, la sélection de l'Installationminimale dans l'Assistant Installation de Windows illustré à la page suivante, puisl'affichage d'une invite de commandes à la place de l'interface Explorateur Windows lorsque vous ouvrez une session à la fin de l'installation.




Lorsque vous installez Windows Server 2008 à partir de son DVD, le mot de passeinitial du compte Administrateur est vide. Lorsque vous ouvrez pour la premièrefois une session sur le serveur, utilisez un mot de passe vide. Vous serez invité àmodifier le mot de passe lors de la première ouverture de session.




Commandes de configuration de Server Core

Points clésLors d'une installation complète de Windows Server 2008, la fenêtre Tâches deconfiguration initiales s'affiche pour vous guider tout au long de la configuration

après installation du serveur. L'installation minimale ne comporte pas d'interfaceutilisateur graphique, vous devez donc effectuer ces tâches à l'aide des outils deligne de commande Le tableau suivant répertorie les principales tâches deconfiguration et les commandes que vous pouvez utiliser. Pour plus d'informationssur une commande, ouvrez une invite de commande et tapez le nom de lacommande suivie de /?.




Commandes de configuration de Server Core

Tâche Commande

Modifier le mot de passe

Administrateur

Lorsque vous ouvrez une session avec

CTRL+ALT+SUPPR, vous êtes invité à modifier le motde passe.

Vous pouvez également taper la commande suivante :

net user administrator *

Définir une configuration IPv4statique

netsh interface ipv4

Activer Windows Server cscript c:\windows\system32\slmgr.vbs –ato

Joindre un domaine netdom

Ajouter des rôles, descomposants ou desfonctionnalités à l'installationminimale

ocsetup.exe package ou fonctionnalitéNotez que les noms de package ou de fonctionnalitérespectent la casse.

Afficher les rôles, lescomposants et lesfonctionnalités installés

oclist.exe

Activer le Bureau à distance cscript c:\windows\system32\scregedit.wsf /AR 0

Promouvoir un contrôleur dedomaine

dcpromo.exe

Configurer DNS dnscmd.exe

Configurer DFS dfscmd.exe

La commande Ocsetup.exe permet d'ajouter des rôles et des fonctionnalités ServerCore au serveur. Les services de domaine Active Directory sont la seule exception àcette règle. N'utilisez pas la commande Ocsetup.exe pour ajouter ou supprimer ADDS. Utilisez dans ce cas la commande Dcpromo.exe.




L'Assistant Installation des services de domaine Active Directory n'étant pasdisponible lors d'une installation minimale, vous devez utiliser la ligne decommande pour exécuter Dcpromo.exe avec les paramètres qui configurent ADDS. Pour plus d'informations sur les paramètres de la commande dcpromo.exe,

ouvrez une ligne de commande et tapez dcpromo.exe /?. Chaque scénario deconfiguration s'accompagne d'informations d'utilisation complémentaires. Parexemple, tapez dcpromo.exe /?:Promotion pour obtenir des instructionsd'utilisation détaillées sur la promotion d'un contrôleur de domaine.

Lectures complémentaires• Annexe des paramètres d'installation sans assistance :





Atelier pratique B : Installation d'un contrôleurde domaine Server Core

Scénario

Vous êtes administrateur de domaine chez Contoso, Ltd. et vous souhaitez ajouterun contrôleur de domaine dans l'environnement AD DS. Pour renforcer la sécuritédu nouveau contrôleur de domaine, vous envisagez d'utiliser une installationminimale. Vous avez déjà effectué une installation minimale sur un nouvelordinateur et êtes prêt à configurer le serveur en tant que contrôleur de domaine.




Exercice 1 : Configuration après l'installation minimaleDans cet exercice, vous allez effectuer une configuration après l'installation duserveur afin de le préparer en utilisant le nom et les paramètres TCP/IP requis pourles exercices restant de cet atelier.



2. Configuration après l'installation minimale.


L'ordinateur virtuel 6238B-HQDC01-A doit être prêt après l'Atelier pratique A.

• Démarrez 6238B-HQDC01-A sans ouvrir de session.

• Démarrez 6238B-HQDC03-A sans ouvrir de session.

Tâche 2 : Configuration après l'installation minimale

• Ouvrez une session sur l'ordinateur HQDC03 avec le compte Administrator et le mot de passe Pa$$w0rd.

• Configurez l'adresse IPv4 et le serveur DNS en tapant chacune descommandes suivantes :

netsh interface ipv4 set address name="Local Area Connection"

source=static address=10.0.0.13 mask=255.255.255.0gateway=10.0.0.1

netsh interface ipv4 set dns name="Local Area Connection"

source=static address=10.0.0.11 primary

• Vérifiez la configuration IP saisie précédemment avec la commandeipconfig /all.

• Renommez le serveur en tapant netdom renamecomputer%nomOrdinateur% /newname:HQDC03. Vous serez invité à appuyer sur Y pour confirmer l'opération.

• Redémarrez en tapant shutdown -r -t 0.




• Ouvrez une session en tant qu' Administrator avec le mot de passe Pa$$w0rd.

• Rejoignez le domaine à l'aide de la commande suivante :

netdom join %nomOrdinateur% /domain:contoso.com

/UserD:CONTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd/OU:"ou=servers,dc=contoso,dc=com"

• Redémarrez en tapant shutdown -r -t 0.

Résultats : Au terme de cet exercice, vous aurez configuré l'installation minimale entant que membre du domaine contoso.com sous le nom HQDC03.




Exercice 2 : Création d'un contrôleur de domaine vial'installation minimaleDans cet exercice, vous allez ajouter les rôles DNS et AD DS à l'installation

minimale.Les tâches principales de cet exercice sont les suivantes :

1. Ajouter le rôle de serveur DNS à l'installation minimale.

2. Créer un contrôleur de domaine dans l'installation minimale via la commandedcpromo.exe.

Tâche 1 : Ajout du rôle de serveur DNS à l'installation minimale

• Ouvrez une session sur l'ordinateur HQDC03 avec le comptePat.Coleman_Admin

et le mot de passePa$$w0rd

.• Affichez les rôles de serveur disponibles en tapant oclist . Quel est l'identifiant

du package du rôle de serveur DNS ? Quel est son état ?

• Tapez ocsetup et appuyez sur ENTRÉE. Surprise ! L'installation minimalecomprend un minimum d'interface utilisateur graphique. Cliquez sur OK pourfermer la fenêtre.

• Tapez ocsetup DNS-Server-Core-Role. Remarquez que les identifiants depackage respectent la casse.

• Tapez oclist et vérifiez que le rôle de serveur DNS a bien été installé.

Tâche 2 : Création d'un contrôleur de domaine dans l'installation

minimale via la commande dcpromo.exe

• Vérifiez que vous êtes toujours connecté sur l'ordinateur HQDC03 avec lecompte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Tapez dcpromo.exe /? et appuyez sur ENTRÉE. Passez en revue lesinformations d'utilisation.

• Tapez dcpromo.exe /?:Promotion et appuyez sur ENTRÉE. Passez en revueles informations d'utilisation.




• Tapez la commande suivante pour ajouter et configurer le rôle AD DS, puisappuyez sur ENTRÉE :

dcpromo /unattend /ReplicaOrNewDomain:replica

/ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes

/UserName:CONTOSO\Pat.Coleman_Admin /Password:*/safeModeAdminPassword:Pa$$w0rd

• Lorsque vous êtes invité à saisir des informations d'identification réseau, tapezPa$$w0rd, puis cliquez sur OK . Le rôle AD DS est installé et configuré, puis leserveur redémarre.

Résultats : Au terme de cet exercice, vous aurez promu le serveur d'installationminimale, HQDC03, en contrôleur du domaine contoso.com.

Remarque : vous pouvez arrêter les deux ordinateurs virtuels car l'atelier suivant enutilise d'autres.


Question : Avez-vous trouvé la configuration d'une installation minimaleparticulièrement difficile ?

Question : Quels sont les avantages de l'utilisation d'une installation minimale

pour les contrôleurs de domaine ?




Leçon 3

Gestion des maîtres d'opérations

Dans un domaine Active Directory, tous les contrôleurs de domaine sontéquivalents. Ils sont tous capables d'écrire dans la base de données et de répliquer

les modifications dans les autres contrôleurs de domaine. Toutefois, dans unetopologie de réplication multimaître, certaines opérations doivent être effectuéespar un seul et unique système. Dans un domaine Active Directory, les maîtresd'opération sont les contrôleurs de domaine chargés de ce rôle spécifique. Lesautres contrôleurs de domaine sont capables de jouer ce rôle mais ne le font pas.Cette leçon décrit les cinq maîtres d'opérations disponibles dans les forêts etdomaines Active Directory. Vous découvrirez leurs objectifs et apprendrez àidentifier les maîtres d'opérations dans votre entreprise et les nuances del'administration et du transfert des rôles.





• définir l'objectif des cinq opérations à maître unique des forêts Active

Directory ;• identifier les contrôleurs de domaine jouant le rôle de maître d'opérations ;

• planifier l'emplacement des rôles de maître d'opérations ;

• transférer et capter des rôles de maître d'opérations.




Fonctionnement des opérations à maître unique

Points clésDans toute base de données répliquée, certaines modifications doivent être

exécutées par un seul et unique réplica car une exécution en mode multimaîtreserait quasiment impossible. Active Directory ne fait pas exception à cette règle. Unnombre limité d'opérations ne peuvent pas se produire simultanément en desemplacements différents et doivent être confiées à un seul contrôleur de domained'une forêt ou d'un domaine. Ces opérations, et les contrôleurs de domaine qui lesexécutent, sont désignés par différents termes :

• Maîtres d'opérations

• Rôles de maître d'opérations

• Rôles de maître unique

• Jetons d'opération

• Opérations à maître unique flottant (FSMO)




Quel que soit le terme utilisé, l'idée est la même. Un seul contrôleur de domaineeffectue une fonction et, pendant cette opération, aucun autre contrôleur dedomaine n'effectue cette même fonction.

Tous les contrôleurs de domaine Active Directory sont capables d'exécuter des

opérations à maître unique. Le contrôleur de domaine qui effectue véritablementl'opération est celui qui détient actuellement le jeton de l'opération.

Un jeton d'opération, donc le rôle, peut aisément être transmis à un autrecontrôleur de domaine sans redémarrage.

Pour réduire les risques de points de défaillance uniques, les jetons d'opérationpeuvent être répartis entre plusieurs contrôleurs de domaine.

AD DS contient cinq rôles de maître d'opérations. Deux rôles sont exécutés pourl'ensemble de la forêt :

• Maître d'opérations des noms de domaine

• Maître d'opérations du schéma

Trois rôles sont effectués dans chaque domaine :

• Identificateur relatif (RID)

• Infrastructure

• Émulateur PDC

Chacun de ces rôles est détaillé dans les sections suivantes. Quand la forêt necomprend qu'un seul domaine, cinq maîtres d'opérations sont présents. Une forêtà deux domaines comprend huit maîtres d'opérations car les trois rôles de maîtresde domaine sont implémentés séparément dans chacun des deux domaines.




Rôles de maître d'opérations

Points clésRôles de maître d'opérations à l'échelle d'une forêt

Le maître de schéma et le maître de nom de domaine doivent être uniques au seinde la forêt. Chaque rôle est exécuté par un seul contrôleur de domaine dansl'ensemble de la forêt.

Rôle de maître d'opérations des noms de domaine

Le rôle des noms de domaine sert à ajouter ou supprimer des domaines dans laforêt. Lorsque vous ajoutez ou supprimer un domaine, le maître de noms dedomaine doit être accessible. Si ce n'est pas le cas, l'opération échoue.

Rôle de contrôleur de schéma

Le contrôleur de domaine qui détient le rôle de contrôleur de schéma est chargéd'effectuer toutes les modifications apportées au schéma de la forêt. Tous les autres

contrôleurs de domaine détiennent des réplicas du schéma en lecture seule. Pourmodifier le schéma ou installer une application qui le modifie, il est conseilléd'effectuer l'opération sur le contrôleur de domaine qui détient le rôle decontrôleur de schéma. En effet, pour être inscrites dans le schéma, lesmodifications demandées doivent être envoyées au contrôleur de schéma.




Rôles de maître d'opérations à l'échelle d'un domaine

Chaque domaine conserve trois opérations à maître unique : RID, Infrastructure etÉmulateur PDC. Chaque rôle est exécuté par un seul et unique contrôleur dudomaine.

Rôle de maître RID

Le maître RID joue un rôle essentiel dans la génération des identifiants de sécurité(SID) pour les entités de sécurité comme les utilisateurs, les groupes et lesordinateurs. L'identifiant SID d'une entité de sécurité doit être unique. Toutcontrôleur de domaine pouvant créer des comptes, donc des SID, un mécanismedoit garantir que les SID générés par un contrôleur de domaine sont uniques. Lescontrôleurs de domaine Active Directory génèrent des SID en affectant un RIDunique au SID du domaine. Le maître RID du domaine attribue des pools de RIDuniques à chaque contrôleur du domaine. Chacun d'eux sait ainsi avec certitudeque les SID qu'il génère sont uniques.

Remarque : le rôle de maître RID correspond au rôle DHCP pour les SID. Si vousconnaissez le concept d'attribution d'une étendue d'adresses IP que le serveur DHCPpeut affecter aux clients, vous pouvez faire le parallèle avec un maître RID, qui alloue despools de RID aux contrôleurs de domaine pour la création des SID.

Rôle de maître d'infrastructure

Dans un environnement à plusieurs domaines, un objet fait souvent référence auxobjets des autres domaines. Un groupe, par exemple, peut inclure des membresd'un autre domaine. Son attribut de membre à plusieurs valeurs contient les nomsuniques de chaque membre. Si le membre de l'autre domaine est déplacé ourenommé, le maître d'infrastructure du domaine du groupe actualise enconséquence l'attribut de membre du groupe.

Remarque : concernant le maître d'infrastructure, vous pouvez le considérer commeun périphérique de suivi des membres de groupes issus d'autres domaines. Lorsque cesmembres sont renommés ou déplacés dans l'autre domaine, le maître d'infrastructures'aperçoit du changement et modifie les appartenances de groupe de façon appropriéeafin qu'elles restent à jour.




Rôle d'émulateur PDC

Le rôle d'émulateur PDC joue plusieurs fonctions essentielles pour un domaine :

• Il émule un contrôleur de domaine principal (PDC) pour la compatibilitédescendante.

À l'époque des domaines Windows NT® 4.0, seul le PDC pouvait modifierl'annuaire. Les outils, utilitaires et clients précédents, conçus pour prendre encharge Windows NT 4.0, ne savaient pas que tous les contrôleurs de domaine Active Directory pouvaient écrire dans l'annuaire. Ces outils demandaient doncune connexion au PDC. Le contrôleur de domaine qui détient le rôled'émulateur PDC s'enregistre lui-même en tant que PDC pour que lesapplications de bas niveau puissent localiser un contrôleur de domaineinscriptible. Active Directory ayant près de 10 ans aujourd'hui, ces applicationssont moins courantes et si votre entreprise en utilise, pensez à les mettre àniveau pour assurer une compatibilité Active Directory complète.

• Il participe à la gestion des mises à jour de mot de passe pour le domaine.

Lorsque le mot de passe d'un utilisateur est réinitialisé ou modifié, lecontrôleur de domaine qui effectue les modifications les répliqueimmédiatement dans l'émulateur PDC. Cette réplication particulière permet des'assurer que les contrôleurs de domaine connaissent le nouveau mot de passeaussi rapidement que possible. Lorsqu'un utilisateur tente d'ouvrir une sessionimmédiatement après avoir modifié son mot de passe, le contrôleur dedomaine qui répond à cette demande d'ouverture de session peut ne pasconnaître le nouveau mot de passe. Avant de rejeter la tentative de connexion,le contrôleur de domaine transmet la demande d'authentification à unémulateur PDC qui vérifie l'exactitude du nouveau mot de passe et indique aucontrôleur de domaine d'accepter la demande. Cette fonction implique que,chaque fois qu'un utilisateur saisit un mot de passe incorrect, l'authentificationest transmise à l'émulateur PDC pour obtenir un deuxième avis. L'émulateurPDC doit donc être largement accessible à tous les clients du domaine. Il doits'agir d'un contrôleur de domaine à hautes performances et bien connecté.

• Il gère les mises à jour de la stratégie de groupe au sein d'un domaine.

La modification quasi simultanée d'un objet de stratégie du groupe (GPO) dansdeux contrôleurs de domaine peut entraîner des conflits entre les deux versions,conflits que la réplication du GPO peut ne pas résoudre. Pour éviter cette situation,l'émulateur PDC joue le rôle de point focal pour toutes les modifications de la

stratégie de groupe. Lorsque vous ouvrez un objet GPO dans l'Éditeur de gestiondes stratégies de groupe (GPME), ce dernier se relie au contrôleur de domaine qui joue le rôle d'émulateur PDC. Par défaut, toutes les modifications apportéesaux objets GPO sont donc effectuées au niveau de l'émulateur PDC.




• Il fournit une source d'heure de référence au domaine.

Active Directory, Kerberos, le service de réplication de fichiers (FRS) et laréplication DFSR s'appuient tous sur des horodatages. La synchronisation del'heure dans tous les systèmes d'un domaine est donc cruciale. L'émulateur

PDC du domaine racine de la forêt fournit, par défaut, l'horodatage maître del'ensemble de la forêt. Les émulateurs PDC de chaque domaine synchronisentleur heure avec l'émulateur PDC racine de la forêt. Les autres contrôleurs dudomaine synchronisent leurs horloges sur celle de l'émulateur PDC de cedomaine. Tous les autres membres du domaine synchronisent leur horlogeavec celle de leur contrôleur de domaine favori. Cette structure hiérarchiquede synchronisation de l'heure, implémentée par l'intermédiaire du service Win32Time, garantit la cohérence des horloges. L'horloge en temps universel(UTC) est synchronisée, et le réglage de l'heure affichée aux utilisateurss'effectue en fonction du paramètre de fuseau horaire de l'ordinateur.

Remarque : ne modifiez le service d'horloge que d'une seule manière. Il est fortementrecommandé d'autoriser Windows à conserver ses mécanismes natifs de synchronisationdu temps par défaut. La seule modification que vous pouvez effectuer consiste àconfigurer l'émulateur PDC du domaine racine de la forêt pour qu'il effectue lasynchronisation à partir d'une autre source d'heure. Si vous ne définissez pas de sourcede date et d'heure pour l'émulateur PDC, les erreurs enregistrées par le journal desévénements Système vous rappelleront de le faire. Pour plus d'informations, consultezhttp://go.microsoft.com/fwlink/?LinkId=91969 et les articles cités en référence.

• Il joue le rôle d'explorateur principal de domaine.

Lorsque vous ouvrez le dossier Réseau de Windows, vous obtenez la liste desgroupes de travail et des domaines. Lorsque vous ouvrez un groupe de travailou un domaine, vous obtenez la liste des ordinateurs. Ces deux listes, appeléeslistes de parcours, sont créées par le service Explorateur. Dans chaque segmentréseau, un explorateur maître crée la liste de parcours : les listes des groupesde travail, des domaines et des serveurs de ce segment. L'explorateur maîtredu domaine fusionne les listes de chaque explorateur maître pour que lesclients de parcours puissent récupérer une liste de parcours complète.




Optimisation de l'emplacement des maîtres d'opérations

Points clésLorsque vous créez le domaine racine de la forêt et son premier contrôleur dedomaine, ce dernier joue les cinq rôles de maître d'opérations. Lorsque vous ajoutez

des contrôleurs au domaine, vous pouvez confier des rôles de maître d'opérations auxautres contrôleurs de domaine afin d'équilibrer la charge entre ces derniers ou pouroptimiser l'emplacement d'une opération à maître unique. En matière d'emplacementdes rôles de maître d'opérations, les recommandations sont les suivantes :

• Choisissez le même emplacement pour le maître du schéma et le maîtredes noms de domaine.

Les rôles de maître du schéma et de maître des noms de domaine doivent êtreplacés dans un même contrôleur de domaine, également serveur de Catalogueglobal (GC). Ces rôles ne sont que rarement utilisés et le contrôleur dedomaine qui les hébergent doit être fortement sécurisé. Le maître des noms dedomaine doit être hébergé par un serveur de catalogue global car, lors de

l'ajout d'un nouveau domaine, il doit pouvoir vérifier qu'aucun objet ne portele même nom que le nouveau domaine, quel que soit le type d'objet. Laréplique partielle du catalogue global contient le nom de chacun des objets dela forêt. La charge liée à ces rôles de maître d'opérations reste très légère, sauf lorsque des modifications sont apportées au schéma.




• Choisissez le même emplacement pour les rôles de maître RID et d'émulateur PDC.

Placez les rôles de maître RID et d'émulateur PDC dans un même contrôleurde domaine. Si la charge implique de placer ces rôles dans deux contrôleurs de

domaine distincts, les deux systèmes doivent être physiquement bienconnectés et disposer d'objets de connexion explicites créés dans ActiveDirectory de manière à être des partenaires de réplication directs. Ils doiventégalement être des partenaires de réplication directs pour les contrôleurs dedomaine sélectionnés comme maîtres d'opérations de secours.

• Placez le maître d'infrastructure dans un contrôleur de domaine qui ne soitpas un serveur de catalogue global.

Le maître d'infrastructure doit être placé dans un contrôleur de domaine quine joue pas le rôle de serveur de catalogue global mais qui soit physiquementbien connecté à un tel serveur. Le maître d'infrastructure doit disposer, dans

Active Directory, d'objets explicites de connexion à ce serveur de catalogueglobal pour qu'ils puissent être des partenaires de réplication directs. Le maîtred'infrastructure peut être placé dans le contrôleur de domaine jouantégalement le rôle de maître RID et d'émulateur PDC.

Remarque : le fait qu'ils soient tous des serveurs de catalogue global ou non n'a pasd'importance. Lorsque tous les contrôleurs d'un domaine sont également serveur decatalogue global, ce que recommandait le Module 12 « Configuration des sites et de laréplication Active Directory », savoir quel contrôleur de domaine joue le rôle de maîtred'infrastructure importe peu. Dans un tel cas, tous les contrôleurs de domaine disposentd'informations à jour sur chaque objet de la forêt et le rôle de maître d'infrastructuren'est donc plus nécessaire.

• Disposez d'un plan de basculement.

Au cours des sections suivantes, vous allez apprendre à transférer des rôles demaître d'opérations uniques entre des contrôleurs de domaine, opérationnécessaire en cas de longues périodes d'inactivité, planifiées ou non. Établissezà l'avance un plan de transfert des rôles d'opérations à d'autres contrôleurs dedomaine en cas de déconnexion d'un maître d'opérations.




Identification des maîtres d'opérations

Points clésPour implémenter votre plan de placement des rôles, vous devez savoir quelscontrôleurs de domaine exécutent actuellement des rôles d'opérations à maître

unique. Chaque rôle est présenté dans un outil d'administration Active Directory,de même que dans d'autres outils d'interface utilisateur et de ligne de commande.




Pour identifier le maître actuel de chaque rôle, servez-vous des outils suivants :

• Émulateur PDC : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations.Ouvrez l'onglet CDP. La page suivante présente un exemple qui indique queSERVER01.contoso.com est actuellement le maître d'opérations CDP.

• Maître RID : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations.Ouvrez l'onglet RID.

• Maître d'infrastructure : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations.Ouvrez l'onglet Infrastructure.




• Maître d'opérations des noms de domaine : composant logiciel enfichableDomaines et approbations Active Directory

Cliquez du bouton droit sur le nœud racine du composant logiciel enfichable(Domaines et approbations Active Directory ) et choisissez Maître

d'opérations.• Contrôleur de schéma : composant logiciel enfichable Schéma Active

Directory

Cliquez du bouton droit sur le nœud racine du composant logiciel enfichable(Schéma Active Directory ) et choisissez Maître d'opérations.

Remarque : concernant l'enregistrement du composant logiciel enfichable Schéma

Active Directory, vous devez l'inscrire avant de pouvoir créer une console MMC(Microsoft Management Console) personnalisée avec le composant logiciel enfichable. Àl'invite de commande, tapez regsvr32 schmmgmt.dll.

D'autres outils permettent également d'identifier les maîtres d'opération, dontles commandes suivantes :

• NTDSUtil

ntdsutil

roles

connections

connect to server DomainControllerFQDN :portnumber

quit

select operation target

list roles for connected serverquitquit

quit

• dcdiag /test:knowsofroleholders /v

• netdom query fsmo




Transfert des rôles de maître d'opérations

Points clés Vous pouvez facilement transférer un rôle de maître d'opérations. Cette opérationest nécessaire dans les cas suivants :

• Lorsque vous créez votre forêt, les cinq rôles sont exécutés par le premiercontrôleur de domaine que vous installez. Lorsque vous ajoutez un domaine àla forêt, les trois rôles de domaine sont exécutés par le premier contrôleur dece domaine. Lorsque vous ajoutez d'autres contrôleurs de domaine, vouspouvez répartir les rôles afin de réduire les risques de point unique dedéfaillance et d'améliorer les performances.

• Si vous envisagez la mise hors connexion d'un contrôleur de domainehébergeant actuellement un rôle de maître d'opérations, transférez ce rôle à unautre contrôleur de domaine avant la mise hors connexion.

• Si vous désaffectez un contrôleur de domaine hébergeant actuellement un rôlede maître d'opérations, transférez ce rôle à un autre contrôleur de domaine avantla désaffectation. L'Assistant Installation des services de domaine ActiveDirectory tentera d'effectuer cette opération automatiquement, mais vous devezêtre prêt à rétrograder un contrôleur de domaine en transférant ses rôles.




Pour transférer un rôle de maître d'opérations, procédez comme suit :

1. Il est recommandé de vérifier que la réplication du nouveau détenteur du rôlea bien été effectuée à partir de l'ancien détenteur du rôle avant de transférer lerôle. Vous pouvez utiliser les techniques décrites au Module 12 pour imposer

une réplication entre les deux systèmes.2. Ouvrez l'outil d'administration qui expose le maître actuel.

Par exemple, ouvrez le composant logiciel enfichable Utilisateurs etordinateurs Active Directory pour transférer l'un des trois rôles de maître dudomaine.

3. Connectez-vous au contrôleur de domaine auquel vous transférez le rôle.

Pour ce faire, cliquez du bouton droit sur le nœud racine du composantlogiciel enfichable et choisissez Modifier le contrôleur de domaine ou Changerde contrôleur de domaine Active Directory. (La commande diffère selon les

composants logiciels enfichables.)4. Ouvrez la boîte de dialogue Maître d'opérations. Celle-ci présente le

contrôleur de domaine détenant actuellement le jeton de rôle de l'opération.Cliquez sur le bouton Modifier pour transférer le rôle au contrôleur dedomaine auquel vous êtes connecté.

Lorsque vous transférez un rôle de maître d'opérations, le maître actuel et lenouveau maître sont en ligne. Le jeton est transféré et le nouveau maîtrecommence immédiatement à jouer son rôle, ce que l'ancien maître cesse aussitôtde faire. Il s'agit là de la meilleure méthode pour déplacer des rôles de maître

d'opérations.




Captage des rôles de maître d'opérations

Points clésIdentification des défaillances d'un maître d'opérations

Plusieurs rôles de maître d'opérations peuvent être indisponibles pendant quelquetemps avant que leur absence ne devienne un problème. D'autres jouent un rôleessentiel pour le fonctionnement quotidien de votre entreprise. Pour identifier lesproblèmes liés aux maîtres d'opérations, examinez le journal des événements duService d'annuaire.

Le plus souvent toutefois, vous ne découvrirez la défaillance d'un maîtred'opérations qu'au moment d'utiliser une fonction qu'il gère, et cette fonctionéchoue. Par exemple, en cas de défaillance du maître RID, vous ne parviendrez pasà créer de nouvelles entités de sécurité.

Réponse à la défaillance d'un maître d'opération

En cas de défaillance d'un contrôleur de domaine exécutant une opération à maîtreunique, si vous n'arrivez pas à remettre le système en service, vous avez la possibilitéde capter le jeton des opérations. Lorsque vous captez un rôle, vous désignez unnouveau maître sans supprimer correctement le rôle du maître défaillant.




Le captage d'un rôle étant une mesure draconienne, assurez-vous que cette actionsoit véritablement nécessaire. Identifiez la cause et la durée prévue de ladéconnexion du maître d'opérations. Si ce dernier peut être ramené en ligne dansun délai raisonnable, patientez. Comment définir ce délai raisonnable ? Il dépend

en fait de l'impact du rôle défaillant.Défaillance de l'Émulateur PDC

L'émulateur PDC est le maître d'opérations dont l'impact sur les opérationshabituelles et les utilisateurs est le plus immédiat lorsqu'il n'est plus disponible. Parchance, le rôle d'Émulateur PDC peut être capté par un autre contrôleur de domaine,puis retransmis à son détenteur original lorsque le système revient en ligne.

Défaillance du maître d'infrastructure

Une défaillance du maître d'infrastructure sera détectée par les administrateurs,mais pas par les utilisateurs. Le maître d'infrastructure étant chargé de mettre à

jour les noms des membres de groupes appartenant à d'autres domaines, il peutdonner l'impression que l'appartenance aux groupes est incorrecte. Cependant,comme nous l'avons mentionné précédemment dans cette leçon, cetteappartenance n'est pas réellement affectée. Vous pouvez capter le rôle de maîtred'infrastructure et le confier à un autre contrôleur de domaine, puis leretransmettre à son détenteur précédent lorsque le système revient en ligne.

Défaillance du maître RID

Un maître RID défaillant finit par empêcher les contrôleurs de domaine de créer denouveaux SID et, par conséquent, vous empêche de créer de nouveaux comptespour les utilisateurs, les groupes ou les ordinateurs. Le maître RID fournissanttoutefois un pool de RID d'une certaine taille aux contrôleurs de domaine, il estgénéralement possible de rester un certain temps sans maître RID, par exemple jusqu'à ce qu'il soit réparé, sauf si vous générez de nombreux nouveaux comptes.Le captage de ce rôle par un autre contrôleur de domaine est une mesureimportante. Après le captage du rôle de maître RID, le contrôleur de domaine quitenait ce rôle ne peut pas être ramené en ligne.

Défaillance du contrôleur de schéma

Le rôle de contrôleur de schéma n'est nécessaire que lorsque des modificationssont apportées au schéma, directement par un administrateur ou lors del'installation d'une application intégrée à Active Directory qui modifie le schéma. Lereste du temps, ce rôle est inutile. Il peut rester hors connexion indéfiniment, jusqu'à ce que des modifications du schéma deviennent nécessaires. Le captage dece rôle par un autre contrôleur de domaine est une mesure importante. Après lecaptage du rôle de contrôleur de schéma, le contrôleur de domaine qui tenait cerôle ne peut pas être ramené en ligne.




Défaillance du maître des noms de domaine

Le rôle de maître des noms de domaine est uniquement nécessaire lorsque vousajoutez un domaine à la forêt ou lorsque vous supprimez un domaine dans une forêt. Jusqu'à ce que de telles modifications soient requises pour l'infrastructure de votre

domaine, le rôle de maître des noms de domaine peut demeurer hors connexionpendant une période indéfinie. Le captage de ce rôle par un autre contrôleur dedomaine est une mesure importante. Après le captage du rôle de maître des noms dedomaine, le contrôleur de domaine qui tenait ce rôle ne peut pas être ramené en ligne.

Captage d'un rôle de maître d'opérations

Bien qu'il soit possible de transférer des rôles à l'aide des outils d'administration,vous devez utiliser la commande Ntdsutil.exe pour capter un rôle. Pour capter unrôle de maître d'opérations, procédez comme suit :

1. À l'invite de commande, tapez ntdsutil, puis appuyez sur ENTRÉE.

2. À l'invite de commande ntdsutil, tapez roles et appuyez sur ENTRÉE.Les étapes suivantes établissent une connexion au contrôleur de domaineauquel vous souhaitez confier le rôle d'opération à maître unique.

3. À l'invite Maintenance Fsmo, tapez connections et appuyez sur ENTRÉE.

4. À l'invite de connexion au serveur, tapez connect to serverNomCompletContrôleurDomaine et appuyez sur ENTRÉE.

NomCompletContrôleurDomaine est le nom de domaine complet du contrôleurde domaine auquel vous souhaitez confier le rôle.

Ntdsutil répond que la connexion au serveur a été établie.

5. À l'invite de connexion au serveur, tapez quit et appuyez sur ENTRÉE.

6. À l'invite Maintenance Fsmo, tapez seize rôle et appuyez sur ENTRÉE.

Rôle correspond à l'un des éléments suivants :

• Contrôleur de schéma

• Maître des noms de domaine

• Maître RID

• Contrôleur de domaine principal (PDC)

• Maître d'infrastructure

7. À l'invite Maintenance Fsmo, tapez quit et appuyez sur ENTRÉE.

8. À l'invite de commande ntdsutil, tapez quit et appuyez sur ENTRÉE.




Restitution d'un rôle à son détenteur d'origine

Pour qu'il soit possible de planifier une période de temps d'arrêt pour uncontrôleur de domaine lorsqu'un rôle a été transféré, mais pas capté, ce rôle peutêtre restitué à son contrôleur de domaine d'origine.

Toutefois, lorsque le rôle a été capté et que le maître précédent peut être ramené enligne, soyez extrêmement prudent. L'émulateur PDC et le maître d'infrastructuresont les seuls rôles de maître d'opérations qui peuvent être restitués au maîtred'origine après avoir été captés.

Remarque : ne remettez jamais en service un contrôleur de schéma, un maître de nomsde domaine ou un maître RID qui a été capté. Lorsque ces rôles ont été captés, vousdevez désaffecter entièrement le contrôleur de domaine d'origine.

Si vous avez capté les rôles de contrôleur de schéma, de maître de noms dedomaine ou de maître RID pour les confier à un autre contrôleur de domaine, neremettez pas en ligne le contrôleur de domaine d'origine sans l'avoir auparavantentièrement désaffecter. Cela signifie que le détenteur du rôle d'origine doit êtrephysiquement déconnecté du réseau et que vous devez supprimer AD DS avec lacommande dcpromo /forceremoval. Vous devez également nettoyer lesmétadonnées de ce contrôleur de domaine selon les instructions fournies àl'adresse http://go.microsoft.com/fwlink/?LinkId=80481.

Lorsque le contrôleur de domaine a été entièrement supprimé d'Active Directory,vous pouvez le reconnecter au réseau et y joindre un domaine si vous le souhaitez.Si vous voulez en faire un contrôleur de domaine, vous pouvez le promouvoir. Si

vous souhaitez qu'il reprenne le rôle de maître d'opérations, vous pouvez luireconfier ce rôle.

Remarque : il est préférable de tout reconstruire. Du fait de la nature sensible descontrôleurs de domaine, il est préférable dans ce cas de réinstaller entièrement l'anciencontrôleur de domaine.




Atelier pratique C : Transfert des rôles demaître d'opérations

Scénario

Vous êtes administrateur de domaine chez Contoso, Ltd. L'alimentationredondante de l'ordinateur HQDC01 est défaillante et vous devez mettre le serveurhors connexion pour assurer sa maintenance. Vous préférez vous assurer que lesopérations AD DS ne soient pas interrompues pendant la mise hors connexion duserveur.




Exercice 1 : Identification des maîtres d'opérationsDans cet exercice, vous allez vous servir de l'interface utilisateur et des outils deligne de commande pour identifier les maîtres d'opérations du domainecontoso.com.



2. Identifier des maîtres d'opérations à l'aide des composants logiciels enfichablesadministratifs d'Active Directory.

3. Identifier des maîtres d'opérations à l'aide de la commande NetDom.


• Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateurPat.Coleman et le mot de passe Pa$$w0rd.

• Ouvrez D:\Labfiles\Lab11c.

• Exécutez Lab11c_Setup.bat avec des droits administratifs. Utilisez le comptePat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé,appuyez sur une touche quelconque.

• Fermez la fenêtre de l'Explorateur Windows, Lab11c.

• Démarrez 6238B-HQDC02-B sans ouvrir de session.

Tâche 2 : Identification des maîtres d'opérations à l'aide des

composants logiciels enfichables administratifs d'Active Directory

• Exécutez Utilisateurs et ordinateurs Active Directory en tantqu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot depasse Pa$$w0rd.

• Utilisez Utilisateurs et ordinateurs Active Directory pour identifier lesdétenteurs des jetons de rôle de maître d'opérations RID, PDC etInfrastructure. Quel contrôleur de domaine détient ces rôles ?

• Fermez Utilisateurs et ordinateurs Active Directory.




• Exécutez Domaines et approbations Active Directory en tantqu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot depasse Pa$$w0rd.

• Utilisez Domaines et approbations Active Directory pour identifier les

détenteurs des jetons de rôle de maître d'opérations des noms de domaine.Quel contrôleur de domaine détient ce rôle ?

• Fermez Domaines et approbations Active Directory.

• Exécutez l'invite de commande en tant qu'administrateur avec le nomd'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Tapez regsvr32 schmmgmt.dll et appuyez sur ENTRÉE.

• Exécutez la commande mmc.exe en tant qu'administrateur avec le nomd'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Ajoutez le composant logiciel enfichable

Schéma Active Directory dans laconsole.

• Utilisez Schéma Active Directory pour identifier les détenteurs des jetons derôle de maître d'opérations contrôleur de schéma. Quel contrôleur de domainedétient ce rôle ?

• Fermez la console. Il n'est pas nécessaire d'enregistrer les modifications.

Tâche 3 : Identification des maîtres d'opérations à l'aide de la

commande NetDom


• Tapez la commande netdom query fsmo et appuyez sur ENTRÉE.

Résultats : Au terme de cet exercice, vous aurez utilisé les composants logicielsenfichables administratifs et la commande NetDom pour identifier les maîtresd'opérations.




Exercice 2 : Transfert des rôles de maître d'opérationsDans cet exercice, vous allez préparer la mise hors connexion d'un maîtred'opérations en transférant ses rôles à un autre contrôleur de domaine. Voussimulerez ensuite la mise hors connexion, la remise en ligne et la restitution durôle de maître d'opérations.


1. Transférer le rôle PDC avec le composant logiciel enfichable Utilisateurs etordinateurs Active Directory.

2. Examiner les autres rôles avant la mise hors connexion d'un contrôleur dedomaine.

3. Transférer le rôle PDC avec la commande NTDSUtil.

Tâche 1 : Transfert du rôle PDC avec le composant logiciel enfichable

Utilisateurs et ordinateurs Active Directory

• Exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur,avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Connectez-vous à HQDC02.

Avant de transférer un maître d'opérations, vous devez vous connecter aucontrôleur de domaine auquel vous souhaitez confier ce rôle.

Le nœud racine du composant logiciel enfichable présente le contrôleur dedomaine auquel vous êtes connecté : Utilisateurs et ordinateurs Active

Directory [hqdc02.contoso.com].

• Transférez le rôle de maître d'opérations PDC à l'ordinateur HQDC02.

Tâche 2 : Examen des autres rôles avant la mise hors connexion d'un

contrôleur de domaine

Vous êtes prêt à mettre l'ordinateur HQDC01 hors connexion. Vous venez detransférer le rôle de maître d'opérations PDC à l'ordinateur HQDC02.

• Dressez la liste des autres rôles de maîtres d'opérations qu'il est nécessaire de

transférer avant de mettre HQDC01 hors connexion.• Dressez la liste des autres rôles de serveur qu'il est nécessaire de transférer

avant de mettre HQDC01 hors connexion.




Tâche 3 : Transfert du rôle PDC avec la commande NTDSUtil

La maintenance de l'ordinateur HQDC01 est à présent terminée. Vous le remettezdonc en ligne.

N'oubliez pas que vous ne pouvez pas ramener un contrôleur de domaine en lignesi les rôles de maître RID, de contrôleur de schéma ou de maître des noms dedomaine ont été captés. Vous pouvez cependant le remettre en ligne si le rôle a ététransféré.


• Utilisez NTDSUtil pour vous connecter à HQDC01 et lui restituer le rôle PDC.

Résultats : Au terme de cet exercice, vous aurez transféré le rôle PDC à l'ordinateur

HQDC02 via le composant logiciel enfichable Utilisateurs et ordinateurs ActiveDirectory, puis restitué ce rôle à l'ordinateur HQDC01 via la commande NTDSUtil.

Remarque : vous pouvez arrêter ces ordinateurs virtuels lorsque vous avez terminé carleur redémarrage est nécessaire pour l'atelier suivant.


Question : Si vous transférez tous les rôles avant de mettre un contrôleur de

domaine hors connexion, est-il possible de le remettre en ligne ?

Question : Si un contrôleur de domaine est défaillant et que vous captez ses rôlespour les confier à un autre contrôleur de domaine, est-il possible de remettre lecontrôleur de domaine défaillant en ligne ?




Leçon 4

Configuration de la réplication DFSR du dossierSYSVOL

Le dossier SYSVOL, situé par défaut dans %SystemRoot%\SYSVOL, contient lesscripts de connexion, les modèles de stratégie de groupe (GPT) et d'autresressources essentielles pour le bon fonctionnement et la gestion d'un domaine Active Directory. Dans l'idéal, le dossier SYSVOL doit être identique dans chaquecontrôleur de domaine. Toutefois, des modifications étant parfois apportées auxobjets de stratégie de groupe et aux scripts de connexion, vous devez vérifier queces modifications soient bien répliquées dans tous les contrôleurs de domaine.Dans les versions précédentes de Windows, les services FRS permettaient derépliquer le contenu du dossier SYSVOL entre des contrôleurs de domaine. Leslimites des services FRS, en termes de capacités et de performances, entraînentparfois leur blocage. Malheureusement, la résolution des problèmes et laconfiguration des services FRS sont assez difficiles. Dans les domaines WindowsServer 2008, vous avez la possibilité d'utiliser la réplication DFSR pour répliquer lecontenu du dossier SYSVOL. Dans cette leçon, vous allez apprendre à effectuer lamigration du dossier SYSVOL du Service de réplication de fichiers (FRS) vers laRéplication du système de fichiers distribué (DFSR).





• augmenter le niveau fonctionnel du domaine ;

• migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers laRéplication du système de fichiers distribué (DFSR).




Augmentation du niveau fonctionnel du domaine

Points clésLe Module 1, « Présentation des services de domaine Active Directory »,introduisait le concept de niveaux fonctionnels des domaines et des forêts. Le

Module 14, « Gestion de plusieurs domaines et forêts », vous permettra d'étudieren détail ces niveaux fonctionnels des domaines et des forêts. Le niveaufonctionnel d'un domaine est un paramètre qui limite les systèmes d'exploitationpris en charge en tant que contrôleurs d'un domaine et active des fonctionnalitéssupplémentaires d'Active Directory. Le niveau fonctionnel d'un domaine doté d'uncontrôleur de domaine Windows Server 2008 peut être l'un des trois suivants : Windows 2000 Natif, Windows Server 2003 Natif et Windows Server 2008. Auniveau fonctionnel de domaine natif Windows 2000, les contrôleurs de domainepeuvent exécuter Windows 2000 Server ou Windows Server 2003. Au niveaufonctionnel de domaine natif Windows Server 2003, les contrôleurs de domainepeuvent exécuter Windows Server 2003. Au niveau fonctionnel de domaine

Windows Server 2008, tous les contrôleurs de domaine doivent exécuter WindowsServer 2008.




Lorsque vous augmentez les niveaux fonctionnels, de nouvelles capacités d'ActiveDirectory sont activées. Au niveau fonctionnel de domaine Windows Server 2008,par exemple, vous pouvez utiliser la réplication DFSR pour répliquer le contenu dudossier SYSVOL. La simple mise à niveau de tous les contrôleurs de domaine vers

Windows Server 2008 ne suffit pas : vous devez augmenter le niveau fonctionneldu domaine en utilisant pour ce faire Domaines et approbations Active Directory.

Pour augmenter le niveau fonctionnel d'un domaine :

1. Exécutez le composant logiciel enfichable Domaines et approbations ActiveDirectory .

2. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveaufonctionnel du domaine.

3. Sélectionnez le niveau fonctionnel Windows Server 2008, puis cliquez sur Augmenter.

Une fois le niveau fonctionnel du domaine défini sur Windows Server 2008, vousne pouvez pas y ajouter de contrôleurs de domaine fonctionnant sous WindowsServer 2003 ou Windows 2000 Server. Le niveau fonctionnel est associéuniquement aux systèmes d'exploitation des contrôleurs de domaine. Les serveurset les stations de travail membres peuvent exécuter Windows Server 2003, Windows 2000 Server, Windows Vista®, Windows XP ou Windows 2000.




Fonctionnement des phases de la migration

Points clésLe dossier SYSVOL étant indispensable pour le bon fonctionnement de votredomaine, Windows ne propose pas de mécanisme permettant de passer

instantanément du Service FRS à la Réplication DFSR du dossier SYSVOL. Enréalité, la migration vers une réplication DFSR implique la création d'une structureSYSVOL parallèle. Lorsque cette structure parallèle a bien été mise en place, lesclients sont redirigés vers la nouvelle structure en tant que volume système dudomaine. Lorsque l'opération a bien été effectuée et que son fonctionnement a étévérifié, vous pouvez éliminer le service FRS.

La migration vers la réplication DFSR comprend quatre phases ou états :

• 0 (début) : état par défaut d'un contrôleur de domaine. Seul le service FRS estutilisé pour répliquer le dossier SYSVOL.

• 1 (préparé) : une copie du dossier SYSVOL est créée dans un dossier nomméSYSVOL_DFSR et ajoutée à un jeu de réplication. Le service DFSR commenceà répliquer le contenu des dossiers SYSVOL_DFSR dans tous les contrôleursde domaine. Le service FRS poursuit cependant la réplication des dossiersSYSVOL d'origine et les clients continuent à utiliser le dossier SYSVOL.




• 2 (redirigé) : le partage SYSVOL, qui fait initialement référence au dossierSYSVOL\domain\sysvol, est modifié de manière à référencer le dossierSYSVOL_DFSR\domain\sysvol. Les clients utilisent à présent le dossierSYSVOL_DFSR pour récupérer les scripts de connexion et les modèles de

stratégie de groupe.• 3 (éliminé) : la réplication de l'ancien dossier SYSVOL par le service FRS est

interrompue. Le dossier SYSVOL d'origine n'est cependant pas supprimé. Sivous souhaitez le supprimer dans son intégralité, vous devez le fairemanuellement.

Pour faire passer vos contrôleurs de domaine à travers ces phases, utilisez lacommande DFSMig. Trois options sont disponibles avec la commandedfsrmig.exe :

• setglobalstate état

L'option setglobalstate configure l'état actuel de la migration du service deréplication DFSR global, qui s'applique à tous les contrôleurs de domaine.L'état est défini par le paramètre état, compris entre 0 et 3. Le nouvel état de lamigration de réplication DFSR est signalé à chaque contrôleur de domaine quimigre automatiquement vers cet état.

• getglobalstate

L'option getglobalstate indique l'état actuel de la migration DFSR globale.

• getmigrationstate

L'option getmigrationstate indique l'état de migration actuel de chaque

contrôleur de domaine. Le signalement du nouvel état de migration DFSR global aux contrôleurs de domaine pouvant prendre un certain temps, et laréalisation des modifications requises par cet état par un contrôleur dedomaine pouvant être encore plus longue, les contrôleurs de domaine ne sontpas instantanément synchronisés avec l'état global. L'option getmigrationstatevous permet de contrôler la progression des contrôleurs de domaine parrapport à l'état actuel de la migration DFSR globale.

En cas de problème lors du passage d'un état au suivant, vous pouvez rétablir lesétats précédents avec l'option setglobalstate. Toutefois, une fois que vous avezutilisé l'option setglobalstate pour définir l'état 3 (éliminé), vous ne pouvez plusrétablir les états antérieurs.




Migration vers la réplication DFSR du dossier SYSVOL

Points clésPour faire migrer la réplication SYSVOL du Service de réplication de fichiers (FRS)vers la Réplication du système de fichiers distribué (DFSR), procédez comme suit :

1. Ouvrez le composant logiciel enfichable Domaines et approbations ActiveDirectory .

2. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveaufonctionnel du domaine.

3. Si le champ Niveau fonctionnel du domaine actuel n'indique pas WindowsServer 2008, choisissez Windows Server 2008 dans la liste Sélectionner unniveau fonctionnel du domaine disponible.

4. Cliquez sur Augmenter. Cliquez à deux reprises sur OK dans les boîtes dedialogue qui s'affichent.

5. Ouvrez une session sur un contrôleur de domaine et ouvrez une invite decommande.

6. Tapez dfsrmig /setglobalstate 1.




7. Tapez dfsrmig /getmigrationstate pour connaître la progression descontrôleurs de domaine vis-à-vis de l'état global Préparé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état.

Cette opération peut prendre 15 minutes à une heure, voire davantage.


9. Tapez dfsrmig /getmigrationstate pour connaître la progression descontrôleurs de domaine vis-à-vis de l'état global Redirigé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état.



Une fois que vous avez commencé la migration de l'état 2 (préparé) versl'état 3 (répliqué), toutes les modifications apportées au dossier SYSVOL

devront être répliquées manuellement dans le dossier SYSVOL_DFSR.11. Tapez dfsrmig /getmigrationstate pour connaître la progression des

contrôleurs de domaine vis-à-vis de l'état global Éliminé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état.


12. Pour plus d'informations sur la commande dfsrmig.exe, tapez dfsrmig.exe /?.




Atelier pratique D : Configuration de laréplication DFSR du dossier SYSVOL

Scénario

Vous êtes administrateur chez Contoso. Vous avez récemment procédé à la mise àniveau du dernier contrôleur de domaine Windows Server 2003 vers WindowsServer 2008 et vous souhaitez à présent profiter de la réplication améliorée dudossier SYSVOL grâce à la réplication DFSR.




Exercice 1 : Observation de la réplication du dossier SYSVOLDans cet exercice, vous allez observer la réplication du dossier SYSVOL par leservice de réplication de fichiers (FRS) en ajoutant un script de connexion aupartage NETLOGON et en observant sa réplication vers un autre contrôleur dedomaine.



2. Observer la réplication du dossier SYSVOL.


• Arrêtez tous les ordinateurs virtuels.

• Démarrez 6238B-HQDC01-B et ouvrez une session avec le comptePat.Coleman et le mot de passe Pa$$w0rd.

• Ouvrez D:\Labfiles\Lab11d.

• Exécutez Lab11d_Setup.bat avec des droits administratifs. Utilisez le comptePat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé,appuyez sur une touche quelconque.

• Fermez la fenêtre de l'Explorateur Windows, Lab11d.

• Démarrez 6238B-HQDC02-B et ouvrez une session avec le comptePat.Coleman_Admin et le mot de passe Pa$$w0rd.

Tâche 2 : Observation de la réplication du dossier SYSVOL

• Dans HQDC01, ouvrez %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts.

• Exécutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateurPat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Enregistrez un fichier test sous le nom

%SystemRoot%\Sysvol\sysvol\contoso.com\Scripts\TestFRS.txt .• Dans HQDC02, ouvrez %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts

\Scripts.




• Vérifiez que le fichier TestFRS.txt a bien été répliqué dans le dossier Scripts del'ordinateur HQDC02.

Si le fichier n'apparaît pas immédiatement, patientez quelques instants. Laréplication peut prendre jusqu'à 15 minutes. Vous pouvez éventuellement

passer à l'Exercice 2. Avant de passer à l'Exercice 3, vérifiez toutefois que lefichier a bien été répliqué.

• Après avoir observé la réplication, fermez la fenêtre de l'Explorateur Windowscontenant le dossier Scripts des ordinateurs HQDC01 et HQDC02.

Résultats : Au terme de cet exercice, vous aurez observé la réplication d'un fichier testentre les dossiers SYSVOL\Scripts de deux contrôleurs de domaine.




Exercice 2 : Préparation de la migration vers la réplicationDFSRPour que la migration vers la réplication DFSR du dossier SYSVOL soit possible, le

domaine ne doit contenir que des contrôleurs de domaine Windows Server 2008et son niveau fonctionnel doit être élevé jusqu'à Windows Server 2008. Dans cetexercice, vous allez vérifié que les autres niveaux fonctionnels du domaine neprennent pas en charge la migration DFSR. Vous élèverez ensuite le domaine auniveau fonctionnel Windows Server 2008.


1. Confirmer le niveau fonctionnel actuel inférieur à Windows Server 2008 pourle domaine.

2. Confirmer l'indisponibilité de la réplication DFSR pour les niveauxfonctionnels de domaine inférieurs à Windows Server 2008.

3. Augmenter le niveau fonctionnel du domaine.

4. Confirmer la disponibilité de la réplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine.

Tâche 1 : Confirmation du niveau fonctionnel actuel inférieur à

Windows Server 2008 pour le domaine

• Dans HQDC01, exécutez Utilisateurs et ordinateurs Active Directory en tantqu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de

passe Pa$$w0rd.• Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows Server

2003, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte dedialogue.

Tâche 2 : Confirmation de l'indisponibilité de la réplication DFSR pour

les niveaux fonctionnels de domaine inférieurs à Windows Server 2008


• Tapez dfsrmig /getglobalstate et appuyez sur ENTRÉE. Le message quis'affiche vous signale que la commande dfsrmig n'est prise en charge que parles domaines de niveau fonctionnel Windows Server 2008.




Tâche 3 : Augmentation du niveau fonctionnel du domaine

• Dans Utilisateurs et ordinateurs Active Directory , élevez le domaine vers leniveau fonctionnel Windows Server 2008.

• Fermez Utilisateurs et ordinateurs Active Directory.

Tâche 4 : Confirmation de la disponibilité de la réplication DFSR pour

le niveau fonctionnel Windows Server 2008 du domaine

• Revenez à l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyezsur ENTRÉE. Le message qui s'affiche vous signale que la migration DFSR n'apas encore été déclenchée.

Résultats : Au terme de cet exercice, vous aurez élevé le niveau fonctionnel du

domaine à Windows Server 2008 et confirmé que, ce faisant, vous avez rendu possiblela migration du dossier SYSVOL vers la réplication DFSR.




Exercice 3 : Migration de la réplication du dossier SYSVOLvers DFSRDans cet exercice, vous allez faire migrer le mécanisme de réplication de FRS vers

DFSR.La tâche principale de cet exercice est la suivante :

1. Migrer de la réplication du dossier SYSVOL vers DFSR.

Tâche 1 : Migration de la réplication du dossier SYSVOL vers DFSR

1. Revenez à l'invite de commande.

2. Tapez dfsrmig /setglobalstate 0 et appuyez sur ENTRÉE.

Le message suivant s'affiche :

Current DFSR global state: 'Start'

New DFSR global state: 'Start'

Invalid state change requested.

L'état global par défaut étant déjà 0, ‘Start', votre commande n'est donc pasvalide. Toutefois, cela permet de déclencher la migration DFSR.

3. Tapez dfsrmig /getglobalstate et appuyez sur ENTRÉE.



Succeeded.

4. Tapez dfsrmig /getmigrationstate et appuyez sur ENTRÉE.


All Domain Controllers have migrated successfully to Global state

('Start').

Migration has reached a consistent state on all Domain

Controllers.

Succeeded.







New DFSR global state: 'Prepared'

Migration will proceed to 'Prepared' state. DFSR service will

copy the contents of SYSVOL to SYSVOL_DFSRfolder.

If any DC is unable to start migration then try manual polling.

OR Run with option /CreateGlobalObjects.

Migration can start anytime between 15 min to 1 hour.

Succeeded.


Le message qui s'affiche reflète l'état de migration actuel de chaque contrôleurde domaine. La migration peut durer jusqu'à 15 minutes.

7. Répétez cette étape jusqu'à ce que le message suivant vous signale que lamigration a atteint l'état 'Préparé' et a réussi :


('Prepared').

Migration has reached a consistent state on all Domain

Controllers.

Succeeded.

Lorsque vous recevez le message ci-dessus, passez à l'étape suivante.

Pendant la migration vers l'état 'Préparé', l'un des messages suivants peuts'afficher :

The following Domain Controllers are not in sync with Global state

('Prepared'):

Domain Controller (Local Migration State) - DC Type

===================================================

HQDC01 ('Start') - Primary DC

HQDC02 ('Start') - Writable DC

Migration has not yet reached a consistent state on all Domain

Controllers.

State information might be stale due to AD latency.




ou


('Prepared'):

Domain Controller (Local Migration State) - DC Type===================================================

HQDC01 ('Start') - Primary DC

HQDC02 ('Waiting For Initial Sync') - Writable DC


Controllers.


ou

The following Domain Controllers are not in sync with Global state('Prepared'):


===================================================

HQDC02 ('Waiting For Initial Sync') - Writable DC


Controllers.


8. Cliquez sur Démarrer, pointez sur Outils d'administration, cliquez dubouton droit sur Observateur d'événements, et choisissez Exécuter en tant qu'administrateur.

9. Cliquez sur Utiliser un autre compte.

10. Dans la zone Nom d'utilisateur, tapez Pat.Coleman_Admin.

11. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée.

L'Observateur d'événements apparaît.

12. Dans l'arborescence de la console, développez Journaux des applications et

des services et sélectionnez Réplication DFSR .




13. Localisez l'événement associé à l'ID 8014 et ouvrez ses propriétés.

Vous devriez obtenir les informations illustrées dans la capture d'écransuivante.

14. Fermez l'Observateur d'événements.

15. Revenez à l'invite de commandes.






Current DFSR global state: 'Prepared'

New DFSR global state: 'Redirected'

Migration will proceed to 'Redirected' state. The SYSVOL share

will bechanged to SYSVOL_DFSR folder.

If any changes have been made to the SYSVOL share during the state

transition from 'Prepared' to 'Redirected', please robocopy the

changes

from SYSVOL to SYSVOL_DFSR on any replicated RWDC.

Succeeded.


Le message qui s'affiche reflète l'état de migration actuel de chaque contrôleurde domaine. La migration peut durer jusqu'à 15 minutes.

18. Répétez l'étape 17 jusqu'à ce que le message suivant vous signale que lamigration a atteint l'état 'Préparé' et a réussi :


('Redirected').

Migration has reached a consistent state on all DomainControllers.

Succeeded.

Lorsque vous recevez le message ci-dessus, passez à la tâche suivante.Pendant la migration, les messages suivants peuvent s'afficher :


('Redirected'):


===================================================

HQDC02 ('Prepared') - Writable DC


Controllers.State information might be stale due to AD latency.




Résultats : Au terme de cet exercice, vous aurez fait migrer la réplication du dossierSYSVOL vers DFSR dans le domaine contoso.com.




Exercice 4 : Vérification de la réplication DFSR du dossierSYSVOLDans cet exercice, vous allez vérifier que le dossier SYSVOL a bien été répliqué par

le service DFSR.Les tâches principales de cet exercice sont les suivantes :

1. Confirmer le nouvel emplacement du dossier SYSVOL.

2. Observer la réplication du dossier SYSVOL.

Tâche 1 : Confirmation du nouvel emplacement du dossier SYSVOL

• À l'invite de commande, tapez net share et appuyez sur ENTRÉE. Vérifiez quele partage NETLOGON fait référence au dossier %SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts et que le partage SYSVOL fait

référence au dossier %SystemRoot%\SYSVOL_DFSR\Sysvol.

Tâche 2 : Observation de la réplication du dossier SYSVOL

• Dans HQDC01, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol \contoso.com\Scripts.

Remarquez que le fichier TestFRS.txt créé précédemment apparaît déjà dans ledossier Scripts. Lorsque les contrôleurs de domaine étaient en état Préparé, lesfichiers ont été répliqués entre le dossier FRS SYSVOL hérité et le nouveaudossier DFS-R SYSVOL.

• Exécutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateurPat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Enregistrez un fichier test sous le nom %SystemRoot%\SYSVOL_DFSR \Sysvol\contoso.com\Scripts \TestDFSR.txt .

• Dans HQDC02, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts.

• Vérifiez que le fichier TestDFSR.txt a bien été répliqué dans le dossier Scriptsde l'ordinateur HQDC02.

Si le fichier n'apparaît pas immédiatement, patientez quelques instants.

Résultats : Au terme de cet exercice, vous aurez observé la réplication d'un fichier testentre les dossiers SYSVOL_DFSR Scripts de deux contrôleurs de domaine.






Question : Quelles différences vous attendriez-vous à voir entre deux entreprisesdont l'une a initialement créé son domaine avec des contrôleurs de domaine Windows 2008 et l'autre a effectué une migration vers Windows Server 2008depuis Windows Server 2003 ?

Question : Que devez-vous savoir lors de la migration de l'état Préparé vers l'étatRedirigé ?





Gestion des sites et de la réplication Active Directory 12-1

Module 12Gestion des sites et de la réplication ActiveDirectory

Table des matières :

Leçon 1 : Configuration des sites et des sous-réseaux 12-4Atelier pratique A : Configuration des sites et des sous-réseaux 12-23

Leçon 2 : Configuration des partitions d'application et du catalogueglobal 12-27

Atelier pratique B : Configuration des partitions d'application et ducatalogue global 12-42

Leçon 3 : Configuration de la réplication 12-48

Atelier pratique C : Configuration de la réplication 12-75





Dans les modules précédents, vous avez appris que les contrôleurs d'un domaine Windows Server® 2008 étaient des homologues. Chaque contrôleur gère une copiede l'annuaire, exécute des services similaires pour prendre en chargel'authentification des entités de sécurité, et les modifications apportées à l'und'entre eux sont répliquées dans tous les autres contrôleurs de domaine. En tantqu'administrateur d'une entreprise Windows®, l'une de vos tâches consiste à vousassurer que l'authentification est aussi efficace que possible et que la réplicationentre les contrôleurs de domaine est optimale. Les sites Active Directory® sont lecomposant central du service d'annuaire prenant en charge les objectifs de lalocalisation et de la réplication des services. Dans ce module, vous allez apprendreà créer un service d'annuaire distribué capable de prendre en charge lescontrôleurs de domaine situés dans des parties de votre réseau reliées par desconnexions onéreuses, lentes ou non fiables. Vous y apprendrez à répartir lescontrôleurs de domaine de manière stratégique et à gérer la réplication etl'utilisation des services. Vous apprendrez également à contrôler quelles donnéessont répliquées dans chaque contrôleur de domaine en configurant des partitionsd'application et des catalogues globaux.





• configurer des sites et des sous-réseaux ;

• comprendre l'emplacement des contrôleurs de domaine et gérer lescontrôleurs de domaine dans les sites ;

• configurer la réplication du jeu d'attributs partiels vers les serveurs decatalogues globaux ;

• implémenter la mise en cache de l'appartenance au groupe universel ;

• comprendre la fonction des partitions de l'annuaire d'applications ;

• configurer la topologie de réplication avec des objets de connexion, desserveurs tête de pont, des liens de sites et des ponts de liens de sites ;

• générer des rapports, analyser et résoudre les problèmes de réplication avec lesoutils repadmin.exe et dcdiag.exe ;




Leçon 1

Configuration des sites et des sous-réseaux

Active Directory représente les personnes sous forme d'objets utilisateur dans le serviced'annuaire. Il représente les ordinateurs par des objets ordinateur. Il représente la

topologie du réseau par des objets appelés sites et sous-réseaux. Les objets site Active Directory sont utilisés pour gérer la réplication et la localisation des serviceset, par chance, la configuration des sites et des sous-réseaux est assez simple dans laplupart des environnements. Dans cette leçon, vous allez étudier les techniques et lesconcepts de base requis pour configurer et gérer des sites et des sous-réseaux.


• identifier le rôle des sites et des sous-réseaux ;

• décrire le processus utilisé par les clients pour localiser un contrôleur de

domaine ;

• configurer des sites et des sous-réseaux ;

• gérer les objets serveur de contrôleur de domaine dans les sites.




Fonctionnement des sites

Points clésLorsque les administrateurs décrivent leur infrastructure réseau, ils mentionnentsouvent le nombre de sites que comprend leur entreprise. Pour la plupart d'entre

eux, un site est un emplacement physique, par exemple un bureau ou une ville.Les sites sont connectés par des liaisons réseau qui peuvent être aussi simples quedes connexions d'accès à distance ou aussi sophistiquées que des liaisons par fibreoptique. Réunis, les emplacements physiques et leurs liaisons composentl'infrastructure du réseau.

Active Directory représente l'infrastructure réseau par des objets appelés sites etliens de site et, bien que les termes soient similaires, ces objets ne correspondentpas aux sites et aux liens décrits par les administrateurs. Cette leçon étudie les siteset la Leçon 3 les liens de sites.




Il est important de bien comprendre les propriétés et les rôles des sites dans ActiveDirectory afin de saisir la subtile différence entre les sites Active Directory et lessites réseau. Les sites Active Directory sont des objets de l'annuaire, en particulierle conteneur Configuration (CN=Configuration,DC=domaine racine de la forêt). Ces

objets permettent de mener à bien deux tâches de gestion de service :• Gérer le trafic de réplication

• Simplifier la localisation des services

Trafic de réplication

La réplication est le transfert des modifications entre les contrôleurs de domaine.Lorsque vous ajoutez un utilisateur ou lorsque vous modifiez le mot de passe d'unutilisateur par exemple, la modification est validée dans l'annuaire par un seulcontrôleur de domaine. Elle doit ensuite être communiquée à tous les autrescontrôleurs du domaine.

Active Directory part de l'hypothèse que votre entreprise comprend deux types deréseau : l'un avec un haut degré de connectivité et l'autre avec un degré deconnectivité moindre. De manière conceptuelle, une modification apportée à ActiveDirectory doit être immédiatement répliquée dans les autres contrôleurs dedomaine du réseau à connectivité élevée dans lequel la modification a été effectuée. Vous préférerez toutefois que la modification ne soit pas immédiatement répliquéepar l'intermédiaire de connexions plus lentes, plus onéreuses ou moins fiables. Vous favoriserez plutôt la gestion de la réplication par les segments à connectivitémoindre afin d'optimiser les performances, de réduire les coûts ou de gérer labande passante.

Un site Active Directory représente une portion à connectivité élevée de votreentreprise. Lorsque vous définissez un site, ses contrôleurs de domaine répliquentles modifications presque instantanément. La réplication entre sites peut êtreplanifiée et gérée.

Localisation des services

Active Directory est un service distribué. Cela signifie, en supposant que vous avezau moins deux contrôleurs de domaine, que plusieurs serveurs (contrôleurs dedomaine) fournissent les mêmes services d'authentification et d'accès à l'annuaire.Si vous avez plusieurs sites réseau et que vous placez un contrôleur de domainedans chacun d'eux, vous préférerez encourager les clients à s'authentifier auprès du

contrôleur de domaine de leur site. Vous avez là un exemple de localisation deservices.




Les sites Active Directory vous aident à localiser les services, notamment ceuxfournis par les contrôleurs de domaine. À l'ouverture d'une session, les clients Windows sont automatiquement orientés vers un contrôleur de domaine de leursite. Lorsque ce site ne comprend aucun contrôleur de domaine, ils sont dirigés

vers le contrôleur d'un autre site, capable de les authentifier efficacement.D'autres services peuvent également être localisés. Espaces de noms du système defichiers distribué (espaces de noms DFS), par exemple, est un service localisé. Lesclients DFS obtiendront les ressources répliquées du serveur le plus efficace, selonleur site Active Directory. De fait, comme les clients savent dans quel site ils setrouvent, tout service distribué peut être écrit de manière à tirer parti de lastructure de sites Active Directory pour localiser intelligemment l'utilisation desservices.




Planification des sites

Points clésLes sites étant utilisés pour optimiser la réplication et permettre la localisation desservices, vous devez soigneusement concevoir votre structure de sites Active

Directory. Les sites Active Directory peuvent ne pas correspondre exactement àceux de votre réseau. Imaginons deux scénarios :

• Vos bureaux sont situés dans deux emplacements distincts. Vous placez uncontrôleur de domaine dans chaque emplacement. Ces emplacementsprésentent un haut degré de connectivité et, pour améliorer les performances,vous décidez de configurer un seul site Active Directory comprenant les deuxemplacements.

• Votre entreprise est située sur un vaste campus à haut degré de connectivité.Du point de vue de la réplication, l'entreprise peut être considérée comme unseul site. Toutefois, pour encourager les clients à utiliser les services distribués

de leur emplacement, vous configurez plusieurs sites pour assurer lalocalisation des services.




Un site Active Directory peut donc inclure plusieurs sites réseau ou être un sous-ensemble d'un seul site réseau. L'essentiel est de se rappeler que les sites servent àla fois pour la gestion de la réplication et pour la localisation des services. Pourdéterminer le nombre de sites dont vous avez besoin, utilisez plusieurs

caractéristiques de votre entreprise : Vitesse de connexion

Tout site Active Directory représente une unité du réseau caractérisée par uneconnexion rapide, fiable et peu onéreuse. Beaucoup de documentations suggèrentque le plus bas débit d'un site ne doit pas être inférieur à 512 Kbits/s. Toutefois, cedébit conseillé peut varier. Certaines organisations ont des liaisons beaucoup pluslentes (56 ou même 28 Kbits/s) dans un site.

Placement des services

Les sites Active Directory gérant la réplication Active Directory et la localisation des

services, il n'est pas pratique de créer un site pour un emplacement réseau quin'héberge aucun contrôleur de domaine ou autre service prenant en charge ActiveDirectory, tel qu'une ressource DFS répliquée.

Remarque : concernant les sites sans contrôleur de domaine : les contrôleurs de

domaine étant uniquement un service distribué dans une entreprise Windows, d'autres

services, tels que les ressources DFS répliquées, connaissent également l'existence des

sites. Vous pouvez configurer des sites pour localiser des services autres que

l'authentification. Dans ce cas, vous aurez des sites sans contrôleur de domaine.

Population d'utilisateurs

Les concentrations d'utilisateurs peuvent également influencer la conception devos sites, mais indirectement. Si un emplacement du réseau héberge un grandnombre d'utilisateurs pour qui l'impossibilité de s'authentifier poserait desproblèmes, placez-y un contrôleur de domaine pour prendre en chargel'authentification à cet endroit. Dès qu'un contrôleur de domaine ou un autreservice distribué est placé à cet endroit pour prendre ces utilisateurs en charge,vous souhaiterez y gérer la réplication Active Directory ou localiser les services enconfigurant un site Active Directory qui représente cet emplacement.




Synthèse des critères de planification des sites

Chaque forêt Active Directory comprend au moins un site. Le site par défaut, créélorsque vous instanciez une forêt avec le premier contrôleur de domaine, estappelé Default-First-Site-Name. Vous devez créer des sites supplémentaires dans

les cas suivants :• Une partie du réseau est isolée par une liaison lente.

• Une partie du réseau a suffisamment d'utilisateurs pour justifier l'hébergementde contrôleurs de domaine ou d'autres services à cet emplacement.

• Le trafic des requêtes envoyées à l'annuaire justifie la présence d'un contrôleurde domaine local.

• Vous souhaitez contrôler la localisation des services.

• Vous souhaitez contrôler la réplication entre les contrôleurs de domaine.

Remarque sur le placement des serveurs DCLes administrateurs réseau souhaitent souvent savoir quand il est recommandé deplacer un contrôleur de domaine (DC) dans un site distant. La réponse est : « celadépend ». Pour être plus précis, cela dépend des ressources dont les utilisateursont besoin dans le site et du niveau de tolérance des interruptions de service.Imaginons par exemple que les utilisateurs d'un site distant exécutent toutes leurstâches en accédant aux ressources du centre de données. Si la liaison avec ce sitedistant est rompue, les utilisateurs ne peuvent plus accéder aux ressources dont ilsont besoin, et un contrôleur de domaine local n'améliorerait pas la situation.

Toutefois, si les utilisateurs accèdent aux ressources du site distant et que la liaisonest rompue, un contrôleur de domaine local peut continuer à leur fournirl'authentification et ils peuvent poursuivre leur travail avec leurs ressources locales.

Dans la plupart des scénarios de succursales, ces bureaux hébergent desressources dont les utilisateurs ont besoin pour effectuer leur travail quotidien. Sices ressources ne sont pas stockées directement dans l'ordinateur de l'utilisateur,celui-ci doit être authentifié. C'est la raison pour laquelle un contrôleur de domaineest généralement recommandé. L'introduction des Contrôleurs de domaine enlecture seule (RODC) sous Windows Server 2008 réduit les risques et la charge degestion dans les succursales. Il est ainsi plus facile pour la plupart desorganisations de déployer des DC dans chaque emplacement du réseau.




Création des sites

Points clésLes sites et la réplication sont gérés à l'aide du composant logiciel enfichable Siteset services Active Directory. Pour définir un site Active Directory, vous allez créer

un objet de site de classe. L'objet site est un conteneur qui gère la réplication descontrôleurs de domaine du site. Vous allez également créer un ou plusieurs objetssous-réseau. Un objet sous-réseau définit une plage d'adresses IP et est relié à unsite. La localisation des services est obtenue lorsque l'adresse IP d'un client peutêtre associée à un site via la relation entre l'objet sous-réseau et l'objet site.




Pour créer un site :

1. Cliquez avec le bouton droit sur le nœud Sites dans Sites et services ActiveDirectory , puis cliquez sur Nouveau site.

2. Dans la boîte de dialogue Nouvel objet – Site qui s'ouvre, entrez le nom dusite et sélectionnez un lien de site.

Le lien de site par défaut, DEFAULTIPSITELINK, sera le seul lien de sitedisponible jusqu'à ce que vous en créiez d'autres (voir la Leçon 3).

Après la création d'un site, vous pouvez cliquer sur son entrée et choisirRenommer pour changer son nom. Il est recommandé de renommer le site Default-First-Site-Name afin d'obtenir un nom qui convienne à la topologie de votre réseau

et de votre entreprise.Les sites ne sont utiles que lorsqu'un client ou un serveur sait à quel site ilappartient. Pour obtenir cette information, vous associez généralement l'adresse IPd'un système avec un site, et les objets sous-réseau récupèrent cette association.




Pour créer un objet sous-réseau :

1. Cliquez avec le bouton droit sur le nœud Sous-réseaux dans Sites et services Active Directory , puis cliquez sur Nouveau sous-réseau. La boîte de dialogueNouvel objet – Sous-réseau s'affiche.

2. Entrez le préfixe du réseau et la longueur du masque de sous-réseau.

L'objet sous-réseau est défini sous forme de plage d'adresses à l'aide de lanotation des préfixes du réseau. Par exemple, pour un sous-réseaureprésentant les adresses 10.1.1.1 à 10.1.1.254 avec un masque de sous-réseau

de 24 bits, le préfixe serait 10.1.1.0/24. Pour plus d'informations sur la saisiedes adresses, cliquez sur le lien En savoir plus sur la saisie des préfixesd'adresse dans la boîte de dialogue Nouvel objet – Sous-réseau.

3. Après la saisie du préfixe du réseau, sélectionnez l'objet site avec lequel le sous-réseau est associé.

Un sous-réseau ne peut être associé qu'à un seul site. Toutefois, un site peutavoir plusieurs sous-réseaux reliés à lui. La boîte de dialogue Propriétés d'unsite, illustrée par la capture d'écran suivante, présente les sous-réseaux associésau site. Toutefois, vous ne pouvez pas modifier les sous-réseaux dans cetteboîte de dialogue. Pour changer le site auquel un sous-réseau est relié, vous

devez ouvrir les propriétés du sous-réseau, illustrées par la capture d'écransuivante.




Remarque : définissez chaque sous-réseau IP. Dans votre environnement de

production, assurez-vous de définir chaque sous-réseau IP en tant qu'objet sous-réseau

dans Active Directory. Si l'adresse IP d'un client n'est pas incluse dans une plage de sous-

réseaux, ce client est incapable de savoir à quel site Active Directory il appartient. Ceci

risque d'entraîner des problèmes de performance et de fonctionnement. N'oubliez pas

les sous-réseaux du segment principal et ceux utilisés pour l'accès distant, tel que les

plages d'adresses d'un réseau privé virtuel (VPN).




Gestion des contrôleurs de domaine des sites

Points clésParfois, vous devez gérer les contrôleurs de domaine des sites Active Directory :

• Vous créez un nouveau site et vous y placez un contrôleur de domaineexistant.

• Vous rétrogradez un contrôleur de domaine.

• Vous affectez un nouveau contrôleur de domaine.




Lorsque vous créez votre forêt Active Directory, le premier contrôleur de domaineest automatiquement placé sous l'objet site nommé Default-First-Site-Name. Vouspouvez voir le contrôleur de domaine SERVER01.contoso.com dans la captured'écran suivante.

D'autres contrôleurs de domaine seront ajoutés aux sites en fonction de leursadresses IP. Par exemple, si un serveur dont l'adresse IP est 10.1.1.17 est promucontrôleur de domaine, il sera automatiquement ajouté au site BRANCHA car lesous-réseau 10.1.1.0/24 a été associé au site BRANCHA (voir la diapositiveprécédente). La capture d'écran précédente présente SERVER02 dans le siteBRANCHA.

Chaque site contient un conteneur Servers, qui contient lui-même un objet pour

chaque contrôleur de domaine du site. Le conteneur Servers d'un site doitprésenter uniquement les contrôleurs de domaine, pas tous les serveurs. Lorsquevous affectez un nouveau contrôleur de domaine, il sera placé par défaut dans lesite associé à son adresse IP. Toutefois, l'Assistant Installation des services dedomaine Active Directory vous permettra de spécifier un autre site. Vous pouvezégalement pré-créer l'objet serveur du contrôleur de domaine dans le site correcten cliquant avec le bouton droit sur le conteneur Servers du site concerné et enchoisissant Serveur dans le menu Nouveau.




Pour finir, vous pouvez déplacer le contrôleur de domaine dans le site appropriéaprès l'installation en cliquant avec le bouton droit sur le serveur et en choisissantDéplacer. Dans la boîte de dialogue Déplacer le serveur, sélectionnez le nouveausite et cliquez sur OK. Le contrôleur de domaine est déplacé. Il est recommandé de

placer un contrôleur de domaine dans l'objet site qui est associé à l'adresse IP ducontrôleur de domaine. Si un DC est multirésident, il ne peut appartenir qu'à unseul site. Si un site n'a aucun contrôleur de domaine, les utilisateurs pourronttoujours se connecter au domaine. Leurs demandes d'ouverture de session serontgérées par un contrôleur de domaine d'un site adjacent ou par un autre contrôleurdu domaine.

Pour supprimer un objet contrôleur de domaine, cliquez avec le bouton droit surson entrée et choisissez Supprimer.




Emplacement des contrôleurs de domaine :enregistrements SRV

Points clés Au début de cette leçon, vous avez examiné les services de domaine ActiveDirectory (AD DS) en tant que service distribué, fournissant l'authentification etl'accès à l'annuaire sur plusieurs contrôleurs de domaine. Vous avez appris àidentifier, dans la topologie de votre réseau, l'emplacement où vous devez définirles sites et placer les contrôleurs de domaine. Maintenant, vous êtes prêt àexaminer comment fonctionne précisément la localisation des service : commentles clients Active Directory sont informés de la présence des sites et comment ilslocalisent le contrôleur de domaine de leur site. Bien que ce niveau de détails soitpeu susceptible de faire l'objet d'une question dans l'examen de certification, ilvous sera très utile lorsque vous devrez résoudre les problèmes d'authentificationd'un ordinateur ou d'un utilisateur.




Enregistrements du localisateur de service

Lorsqu'un contrôleur de domaine est ajouté au domaine, il publie ses services encréant des enregistrements SRV (Service Locator), également appelésenregistrements du localisateur dans le système DNS. À la différence des

enregistrements hôte (enregistrements A), qui établissent la correspondance entreles noms d'hôte et les adresses IP, les enregistrements SRV mappent les servicesavec les noms d'hôte. Le contrôleur de domaine publie sa capacité à fournirl'authentification et l'accès à l'annuaire en inscrivant des enregistrements Kerberoset LDAP SRV. Ces enregistrements SRV sont ajoutés à plusieurs dossiers dans leszones DNS de la forêt. Le premier dossier se trouve au sein de la zone du domaine.Il est appelé _tcp et contient les enregistrements SRV de tous les contrôleurs dudomaine. Le second dossier est spécifique au site qui contient le contrôleur dedomaine, avec le chemin _sites\nomdusite\_tcp, où nomdusite correspond au nomdu site.

Dans la capture d'écran précédente, vous pouvez voir les enregistrements Kerberoset LDAP SRV de SERVER02.contoso.com dans son site, _sites\BRANCHA\_tcp. Vous voyez également le dossier _tcp au premier niveau sous la zone.

Les mêmes enregistrements sont inscrits à plusieurs endroits de la zone_msdcs.nomDomaine, par exemple _msdcs.contoso.com dans la capture d'écran

précédente. Cette zone contient les enregistrements des Services de contrôleur dedomaine Microsoft. Les caractères de soulignement sont imposés par la normeRFC 2052.




Les enregistrements SRV contiennent les éléments suivants :

• Le nom du service et le numéro du port : cette partie de l'enregistrement SRV désigne un service sur un port fixe. Le port n'est pas nécessairement un porttrès courant. Sous Windows Server 2008, les enregistrements SRV incluent

LDAP (port 389), Kerberos (port 88), le protocole de mots de passe Kerberos(KPASSWD, port 464) et les services CG (port 3268).

• Protocole : TCP ou UDP sera indiqué en tant que protocole de transport pourle service. Le même service peut utiliser les deux protocoles, dans desenregistrements SRV distincts. Les enregistrements Kerberos, par exemple,sont inscrits à la fois pour TCP et pour UDP. Les clients Microsoft utilisentuniquement le protocole TCP, mais les clients UNIX peuvent utiliser leprotocole TCP.

• Nom d'hôte : ce nom correspond à l'enregistrement A (Hôte) du serveur quihéberge le service. Lorsqu'un client demande un service, le serveur DNS

renvoie l'enregistrement SRV et les enregistrements A associés. Ainsi, le clientn'a pas besoin d'envoyer une autre requête pour résoudre l'adresse IP d'unservice.

Dans les enregistrements SRV, le nom du service respecte la hiérarchie DNSstandardisée : les composants sont séparés par des points. Par exemple, le serviceKerberos d'un contrôleur de domaine est inscrit au format suivant :

kerberos._tcp.nomSite._sites.nomDomaine

En lisant cet enregistrement SRV de droite à gauche, comme les autresenregistrements DNS, cela donne :

• nomDomaine : le domaine ou la zone, par exemple contoso.com

• _sites : tous les sites inscrits avec DNS

• nomSite : site du contrôleur de domaine qui a inscrit le service

• _tcp : tout service TCP du site

• kerberos : centre de distribution de clés Kerberos (KDC) utilisant TCP commeprotocole de transport




Emplacement des contrôleurs de domaine : Client

Points clésImaginons qu'un client Windows vienne d'être joint au domaine. Il redémarre,reçoit une adresse IP d'un serveur DHCP et est prêt à s'authentifier auprès du

domaine. Comment le client sait-il où trouver un contrôleur de domaine ?

Il n'en sait rien. Donc, il demande le domaine d'un contrôleur de domaine par larequête du dossier _tcp qui, vous vous en souvenez, contient les enregistrementsSRV de tous les contrôleurs du domaine. Le système DNS renvoie la liste de tousles contrôleurs de domaine correspondants, et le client tente alors de tous lescontacter. Le premier contrôleur de domaine qui répond au client examinel'adresse IP de celui-ci, il croise les références entre cette adresse et les objets sous-réseau, puis il signale au client à quel site celui-ci appartient. Le client stocke lenom du site dans son Registre, puis demande les contrôleurs de domaine dudossier _tcp propre à ce site. Le système DNS renvoie la liste de tous les

contrôleurs de domaine de ce site. Le client tente alors de tous les contacter, et lepremier contrôleur de domaine qui répond authentifie le client.




Le client établit une relation d'affinité avec ce contrôleur de domaine et tenteratoujours de s'authentifier auprès de celui-ci dans le futur. Si ce contrôleur dedomaine est indisponible, le client redemande le dossier _tcp du site et tente decontacter tous ses contrôleurs de domaine. Cependant, que se passe-t-il si le client

utilise un ordinateur portable ? Imaginons que l'ordinateur a été authentifié dans lesite BRANCHA et que l'utilisateur amène cet ordinateur dans le site BRANCHB.Lorsque l'ordinateur démarre, il tente de s'authentifier auprès de son contrôleur dedomaine préféré dans le site BRANCHA. Ce contrôleur de domaine s'aperçoit quel'adresse IP du client est associée au site BRANCHB et lui signale son nouveau site.Le client interroge alors le système DNS pour obtenir les contrôleurs de domainedu site BRANCHB.

Vous voyez ainsi comment un client est encouragé à utiliser les services de sonsite : en stockant les informations sur les sites et les sous-réseaux dans ActiveDirectory et en inscrivant les services dans le système DNS. Le choix des servicesrésidant dans le site des clients est la définition même de localisation de services.


• Pour plus d'informations sur l'emplacement des contrôleurs de domaine,consultez l'article http://go.microsoft.com/fwlink/?LinkId=168550.

Couverture des sites

Que se passe-t-il si un site n'a aucun contrôleur de domaine ? Les sites peuventservir à diriger les utilisateurs vers des copies locales des ressources répliquées,telles que les dossiers partagés et répliqués dans un espace de noms DFS. Il estdonc possible que certains sites n'aient pas de contrôleur de domaine. Dans ce cas,

un contrôleur de domaine proche inscrira ses enregistrements SRV dans le site aucours d'un processus appelé couverture de sites. Pour être plus précis, tout sitesans contrôleur de domaine sera généralement couvert par un contrôleur dedomaine d'un site présentant le moindre coût pour cette couverture. Vous endécouvrirez plus sur les coûts de liaison des sites à la Leçon 3. Vous pouvezégalement configurer manuellement la couverture des sites et les priorités desenregistrements SRV si vous souhaitez implémenter un contrôle strict del'authentification auprès de sites sans contrôleur de domaine. L'URL mentionnéecontient des détails sur l'algorithme qui détermine quel contrôleur de domainecouvre automatiquement un site qui en est dépourvu.




Atelier pratique A : Configuration des sites etdes sous-réseaux

Scénario

Vous êtes administrateur chez Contoso, Ltd. Vous vous préparez à améliorer lalocalisation des services et la réplication Active Directory dans votre entreprise.L'administrateur précédent n'a pas modifié la configuration par défaut des sites etdes sous-réseaux. Vous souhaitez commencer par définir votre topologie physiquedans Active Directory.




Exercice 1 : Configuration du site par défautDans cet exercice, vous allez renommer le site Default-First-Site-Name et luiassocier deux sous-réseaux.

Les tâches principales de cet exercice sont les suivantes :1. Préparer l'atelier pratique.

2. Modifier le nom Default-First-Site-Name.

3. Créer un sous-réseau avec association à un site.


• Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateurPat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateur

virtuel peut prendre plusieurs minutes.• Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans y

ouvrir de session.

• Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir desession.

• Après le démarrage de HQDC03, démarrez 6238B-BRANCHDC01-B sans youvrir de session.

• Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâche suivante.

Tâche 2 : Changement du nom Default-First-Site-Name

• Exécutez Sites et services Active Directory en tant qu'administrateur, avec lenom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

• Remplacez le nom Default-First-Site-Name par HEADQUARTERS.

Tâche 3 : Création d'un sous-réseau avec association à un site

• Créez deux sous-réseaux : 10.0.0.0/24 et 10.0.1.0/24, et associez chacund'eux au site HEADQUARTERS.

Résultats : Au terme de cet exercice, vous devriez avoir un site nomméHEADQUARTERS et deux sous-réseaux (10.0.0.0/24 et 10.0.1.0/24) associés à ce site.




Exercice 2 : Création de sites supplémentairesDans cet exercice, vous allez créer un second site et lui associer un sous-réseau.


1. Créer des sites supplémentaires.

2. Créer des sous-réseaux et association avec les sites.

Tâche 1 : Création de sites supplémentaires

• Créez un site nommé HQ-BUILDING-2.

• Créez un site nommé BRANCHA .

Tâche 2 : Création de sous-réseaux et association avec les sites

• Créez un sous-réseau, 10.1.0.0/24, et associez-le au site HQ-BUILDING-2.

• Créez un sous-réseau, 10.2.0.0/24, et associez-le au site BRANCHA .

Résultats : Au terme de cet exercice, vous devriez avoir créé deux nouveaux sites, HQ-BUILDING-2 et BRANCHA, et les avoir associés aux sous-réseaux 10.1.0.0/24 et10.2.0.0/24.




Exercice 3 : Déplacement de contrôleurs de domaine dansdes sites

Tâche 1 : Déplacement de contrôleurs de domaine vers de nouveaux

sites

• Déplacez HQDC03 dans le site HQ-BUILDING-2.

• Déplacez BRANCHDC01 dans le site BRANCHA .

Important : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les

paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce

module.


Question : Vous avez un site de 50 sous-réseaux, chacun avec une adresse de sous-réseau 10.0.x.0/24, et vous n'avez pas d'autre sous-réseau 10.0.x.0. Comment fairepour faciliter l'identification des 50 sous-réseaux et les associer à un site ?

Question : Pourquoi est-il important que tous les sous-réseaux soient identifiés etassociés à un site dans une entreprise à plusieurs sites ?




Leçon 2

Configuration des partitions d'application etdu catalogue global

Dès que votre domaine comporte plus d'un contrôleur de domaine, vous devezenvisager la réplication de la base de données de l'annuaire entre les contrôleurs dedomaine. Dans cette leçon, vous allez découvrir quelles partitions de l'annuairesont répliquées dans chaque contrôleur de domaine d'une forêt et comment gérerla réplication du catalogue global (CG) et des partitions d'application.


• définir l'objectif du catalogue global ;

• configurer des contrôleurs de domaine en tant que serveurs CG ;

• implémenter la mise en cache de l'appartenance au groupe universel ;

• comprendre la fonction des partitions de l'annuaire d'applications.




Examen des partitions Active Directory

Points clésDans le Module 1, vous avez appris que les Services de domaine Active Directory(AD DS) comprennent un magasin de données pour l'identité et la gestion,

notamment de la base de données de l'annuaire, Ntds.dit. Ce seul fichier contientles partitions de l'annuaire. Chaque partition de l'annuaire, également appeléecontexte de nommage, contient les objets d'une certaine étendue. Trois contextes denommage majeurs sont abordés dans ce cours :

• Domaine : le contexte de nommage Domaine contient tous les objets stockésdans un domaine, dont les utilisateurs, les groupes, les ordinateurs et lesconteneurs de la stratégie de groupe (GPC).

• Configuration : la partition Configuration contient les objets qui représententla structure logique de la forêt (domaines), ainsi que la topologie physique(sites, sous-réseaux et services).

• Schéma : le Schéma définit les classes des objets et leurs attributs pourl'ensemble de l'annuaire.




Chaque contrôleur de domaine conserve une copie, ou réplica, de plusieurscontextes de nommage. Comme le Schéma, la Configuration est répliquée danschaque contrôleur de domaine de la forêt. Le contexte de nommage Domaine d'undomaine est répliqué dans tous les contrôleurs de ce domaine mais pas dans ceux

des autres domaines. Ainsi, chaque contrôleur de domaine possède au moins troisréplicas : le contexte de nommage Domaine de son domaine, Configuration etSchéma.

Traditionnellement, les réplicas étaient des copies intégrales, contenant chaqueobjet d'un attribut, et ils étaient inscriptibles dans tous les contrôleurs de domaine.Depuis Windows Server 2008, les Contrôleurs de domaine en lecture seule(RODC) ont légèrement changé la donne. Tout RODC conserve un réplica enlecture seule de tous les objets des contextes de nommage Configuration, Schémaet Domaine de son domaine. Toutefois, certains attributs ne sont pas répliquésdans un RODC, notamment les données confidentielles telles que les mots depasse des utilisateurs, à moins que la stratégie de mots de passe du RODC autorise

cette réplication. Il existe également des attributs correspondant à des donnéesconfidentielles des domaines et de la forêt qui ne sont jamais répliqués dans lesRODC.




Fonctionnement du catalogue global

Points clésImaginez une forêt comprenant deux domaines. Chacun d'eux possède deuxcontrôleurs de domaine. Ces quatre contrôleurs de domaine conserveront un

réplica des contextes de nommage Schéma et Configuration de la forêt. Lescontrôleurs de domaine du Domaine A ont des réplicas du contexte de nommagedu Domaine A, et les contrôleurs de domaine du Domaine B ont des réplicas ducontexte de nommage du Domaine B.

Que se passe-t-il si un utilisateur du Domaine B recherche un utilisateur, unordinateur ou un groupe du Domaine A ? Les contrôleurs du Domaine B neconservent aucune information sur les objets du Domaine A. Donc, un contrôleurdu Domaine B ne peut pas répondre à une requête demandant des objets ducontexte de nommage Domaine du Domaine A.




C'est là qu'intervient le catalogue global. Le catalogue global (CG) est une partitionqui stocke des informations sur chaque objet de la forêt. Lorsqu'un utilisateur duDomaine B recherche un objet du Domaine A, le CG fournit les résultats de larequête. Pour optimiser l'efficacité du CG, celui-ci ne contient pas tous les attributs

de chaque objet de la forêt. Il contient uniquement un sous-ensemble des attributsutiles pour la recherche inter-domaines. C'est pourquoi le CG est également appelé Jeu d'attributs partiel (PAS). Étant donné son rôle dans la prise en charge desrecherches, vous pouvez considérer le CG comme une sorte d'index du magasin dedonnées AD DS.




Emplacement des serveurs de catalogue global

Points clésLe catalogue global améliore considérablement l'efficacité du service d'annuaire etil est obligatoire pour les applications telles que Microsoft Exchange Server et

Microsoft Office Outlook®. C'est pourquoi il faut qu'un catalogue global soitdisponible pour ces applications, entre autres. Seul un contrôleur de domaine peutservir de CG et, dans une configuration idéale, chaque contrôleur de domaine seraitégalement un serveur CG. En réalité, de nombreuses organisations configurentdésormais tous leurs contrôleurs de domaine en tant que serveurs CG.




L'inconvénient d'une telle configuration concerne la réplication. Le CG est unepartition supplémentaire qui doit être répliquée. Dans une forêt à un seul domaine,une légère charge supplémentaire est ajoutée lorsque vous configurez tous lescontrôleurs de domaine en tant que serveurs CG. En effet, tous les contrôleurs de

domaine conservent déjà un jeu complet des attributs de tous les objets dudomaine et de la forêt. Dans une grande forêt à plusieurs domaines, il y aura unesurcharge liée à la réplication des modifications du jeu d'attributs partiel des objetsdans d'autres domaines. Toutefois, de nombreuses organisations estiment que laréplication Active Directory est suffisamment efficace pour répliquer le CG sansimpact notable sur leurs réseaux et que ses avantages sont bien supérieurs à cetinconvénient. Si vous décidez de configurer tous vos contrôleurs de domaine enserveurs CG, vous n'aurez plus à vous inquiéter de l'emplacement du maîtred'opérations de l'infrastructure. En effet, son rôle n'est plus nécessaire dans undomaine où tous les contrôleurs de domaine sont des serveurs CG.

Il est fortement recommandé de configurer un serveur CG dans un contrôleur de

domaine d'un site avec une ou plusieurs des caractéristiques suivantes :• Une application couramment utilisée interroge l'annuaire à l'aide du port

3268, le serveur CG.

• La connexion à un serveur CG est lente ou non fiable.

• Le site contient un ordinateur exécutant Exchange Server.




Configuration d'un serveur de catalogue global (CG)

Points clésLorsque vous créez le premier domaine de la forêt, le premier contrôleur dedomaine est configuré en tant que Catalogue global (CG).

Pour chaque contrôleur de domaine supplémentaire, vous devez décider s'il doits'agir d'un serveur CG ou non. L'Assistant Installation des services de domaine Active Directory et la commande Dcpromo.exe vous permettent tous les deux deconfigurer un serveur CG lors de la promotion d'un contrôleur de domaine.

Vous pouvez également ajouter un CG à un contrôleur de domaine ou l'en retirer àl'aide de Sites et services Active Directory.

Pour configurer un contrôleur de domaine en tant que catalogue global :

1. Développez le site, son conteneur Serveurs et l'objet serveur du contrôleur dedomaine.

2. Cliquez avec le bouton droit sur le nœud Paramètres NTDS et choisissezPropriétés.




3. Dans l'onglet Général, illustré dans la capture d'écran suivante, cochez la caseCatalogue global.

Pour supprimer le catalogue global d'un contrôleur de domaine, répétez la mêmeprocédure en désactivant la case à cocher Catalogue global.




Mise en cache des appartenances à un groupe universel

Points clésDans le Module 4, vous avez appris qu'Active Directory prend en charge lesgroupes qui ont une étendue universelle. Les groupes universels sont conçus pour

inclure des utilisateurs et des groupes de plusieurs domaines dans une forêt.L'appartenance aux groupes universels est répliquée dans le catalogue global.Lorsqu'un utilisateur ouvre une session, un serveur CG fournit son appartenance àun groupe universel. Si aucun CG n'est disponible, l'appartenance à un groupeuniversel ne l'est pas non plus. Il est possible d'utiliser un groupe universel pourrefuser l'accès d'un utilisateur aux ressources. C'est pourquoi Windows évite toutincident de sécurité en refusant l'authentification de l'utilisateur auprès dudomaine. Si l'utilisateur a déjà ouvert une session sur son ordinateur auparavant, ilpeut le refaire à l'aide de ses informations d'identification mises en cache, mais dèsqu'il tente d'accéder aux ressources du réseau, l'accès lui est refusé.

Pour résumer : si aucun serveur CG n'est disponible, les utilisateurs ne pourrontpas se connecter ni accéder aux ressources du réseau.

Si chaque contrôleur de domaine est un serveur CG, ce problème ne survient pas.




Toutefois, si la réplication vous inquiète et si vous avez donc choisi de ne pasconfigurer un contrôleur de domaine en serveur CG, vous pouvez faciliter lesouvertures de session en activant la Mise en cache des appartenances aux groupesuniversels (UGMC). Lorsque vous configurez la mise en cache de l'appartenance

au groupe universel dans un contrôleur de domaine d'une succursale par exemple,ce contrôleur de domaine va obtenir les informations d'appartenance auprès d'unCG pour un utilisateur lors de sa première ouverture de session dans le site. Et cecontrôleur de domaine va mettre ces informations en cache indéfiniment, en lesactualisant toutes les huit heures. Ainsi, si l'utilisateur se connecte ultérieurementet qu'aucun serveur CG n'est disponible, le contrôleur de domaine peut utiliser sesinformations d'appartenance mises en cache pour autoriser la connexion de cetutilisateur.

Il est donc recommandé de configurer la mise en cache UGMC dans les contrôleurs dedomaine des sites dont la connexion à un serveur de catalogue global est peu fiable.

Pour configurer la mise en cache UGMC :1. Ouvrez le composant logiciel enfichable Sites et services Active Directory et

sélectionnez le site concerné dans l'arborescence de la console.

2. Dans le volet d'informations, cliquez avec le bouton droit sur Paramètres desite NTDS, puis choisissez Propriétés.




3. La boîte de dialogue Propriétés des paramètres de site NTDS, illustrée dansla capture d'écran suivante, expose l'option Activer la mise en cache del'appartenance au groupe universel. Vous pouvez cocher cette case et spécifierle catalogue global à partir duquel actualiser la mise en cache de

l'appartenance.




Fonctionnement des partitions de l'annuaire d'applications

Points clésBien que les partitions Domaine, Configuration et Schéma de l'annuaire soientrépliquées dans tous les contrôleurs de domaine d'un domaine, et que les partitions

Configuration et Schéma soient encore répliquées dans tous les contrôleurs dedomaine de la forêt, et que le jeu d'attributs partiel soit répliqué par les serveurs CG, Active Directory prend également en charge les partitions de l'annuaire d'applications.Une partition de l'annuaire d'applications est une partie du magasin de données quicontient les objets requis par une application ou un service qui est extérieur au service AD DS central. À la différence des autres partitions, les partitions d'applicationpeuvent être ciblées pour se répliquer dans certains contrôleurs de domaine. Pardéfaut, elles ne sont pas répliquées dans tous les contrôleurs de domaine.

Les partitions de l'annuaire d'applications sont conçues pour prendre en charge lesapplications et les services Active Directory. Elles peuvent contenir tout type

d'objets, excepté les entités de sécurité telles que les utilisateurs, les ordinateurs etles groupes de sécurité. Ces partitions étant répliquées uniquement lorsque c'estnécessaire, elles offrent les avantages de la tolérance de pannes, de la disponibilitéet des performances tout en optimisant le trafic de la réplication.




Pour comprendre le fonctionnement de ces partitions, examinez celles qui sontconservées par un serveur DNS Microsoft. Lorsque vous créez une zone intégrée à Active Directory, les enregistrements DNS sont répliqués entre les serveurs DNS àl'aide d'une partition de l'annuaire d'applications. La partition et ses objets

enregistrement DNS ne sont pas répliqués dans tous les contrôleurs de domaine,uniquement dans ceux qui jouent le rôle de serveur DNS.

Pour explorer les partitions de l'annuaire d'applications de votre forêt :

1. Ouvrez le composant logiciel enfichable Éditeur ADSI.

2. Cliquez avec le bouton droit sur la racine de l'Éditeur ADSI, puis choisissezConnexion à.

3. Dans la liste déroulante Sélectionnez un contexte d'attribution de nomsconnu, choisissez Configuration, puis cliquez sur OK .

4. Développez Configuration et le dossier représentant la partition

Configuration, puis sélectionnez le dossier Partitions CN=Partitions dansl'arborescence de la console.

Dans le volet d'informations, vous verrez les partitions stockées dans votremagasin de données AD DS, comme illustré dans la capture d'écran suivante.

Notez les deux partitions d'application de la figure, ForestDnsZones etDomainDnsZones. La plupart des partitions d'applications sont créées par lesapplications qui en ont besoin. DNS en est un exemple, et Telephony ApplicationProgramming Interface (TAPI) en est un autre. Les membres du groupe Admins del'entreprise peuvent également créer des partitions de l'annuaire d'applicationsmanuellement à l'aide de la commande Ntdsutil.exe.

Une partition d'applications peut apparaître à tout endroit de l'espace de noms dela forêt où peut apparaître une partition de domaines. Les noms uniques despartitions DNS (DC=DomainDnsZones,DC=contoso,DC=com, par exemple)placent les partitions en position d'enfant de la partition de domainesDC=contoso,DC=com. Une partition d'applications peut également être un enfantd'une autre partition d'applications ou une nouvelle arborescence dans la forêt.




En général, vous utiliserez des outils propres à l'application pour gérer la partitionde l'annuaire d'applications, ses données et sa réplication. Par exemple, l'ajoutd'une zone intégrée à Active Directory à un serveur DNS configureraautomatiquement le contrôleur de domaine pour qu'il reçoive un réplica de la

partition DomainDns. Avec des outils tels que Ntdsutil.exe et Ldp.exe, vouspouvez gérer les partitions de l'annuaire d'applications directement.

Il est important de tenir compte des partitions d'applications avant de rétrograderun contrôleur de domaine. Si un contrôleur de domaine héberge une partition del'annuaire d'applications, vous devez évaluer la raison d'être de cette partition : est-elle requise par toutes les applications et le contrôleur de domaine conserve-t-il sondernier réplica. Auquel cas, la rétrogradation du contrôleur de domaine entraîneraune perte définitive de toutes les informations stockées dans la partition. Bien quel'Assistant Installation des services de domaine Active Directory vous propose desupprimer lui-même les partitions de l'annuaire d'applications, il est recommandéde le faire manuellement avant de rétrograder un contrôleur de domaine.

Lectures complémentaires• Pour plus d'informations sur les partitions de l'annuaire d'applications,

consultez l'article http://go.microsoft.com/fwlink/?LinkId=168551.

• Pour apprendre à gérer les partitions de l'annuaire d'applications, consultezl'article http://go.microsoft.com/fwlink/?LinkId=168553.

• Pour plus d'informations sur les partitions de l'annuaire d'applications et larétrogradation des contrôleurs de domaine, consultez l'articlehttp://go.microsoft.com/fwlink/?LinkId=168554.




Atelier pratique B : Configuration des partitionsd'application et du catalogue global

Scénario

Vous êtes administrateur chez Contoso, Ltd. Dans le cadre de l'amélioration de ladisponibilité et de la résilience du service d'annuaire, vous décidez de configurerdes serveurs CG supplémentaires et la mise en cache des appartenances auxgroupes universels. Vous êtes également intéressé par la relation entre les zonesintégrées à Active Directory et les partitions d'application DNS.




Exercice 1 : Configuration d'un serveur de catalogue global(CG)Le premier contrôleur de domaine d'une forêt agit en tant que serveur de catalogue

global. Vous préférerez placer des serveurs CG à d'autres endroits pour prendre encharge les interrogations de l'annuaire, les ouvertures de session et les applicationstelles que Exchange Server. Dans cet exercice, vous allez configurer BRANCHDC01pour qu'il héberge un réplica du jeu d'attributs partiel : le catalogue global.



2. Configurer un serveur de catalogue global

Tâche 1 : Démarrage des ordinateurs virtuels et ouverture d'une

session

Les ordinateurs virtuels devraient déjà avoir été démarrés et être disponibles aprèsl'Atelier pratique A. Toutefois, si ce n'est pas le cas, suivez la procédure ci-dessous,puis effectuez les exercices 1 à 3 de l'Atelier pratique A avant de continuer.

1. Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateurPat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateurvirtuel peut prendre plusieurs minutes.

2. Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans youvrir de session.

3. Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir desession.

4. Après le démarrage de HQDC03, démarrez 6238B-BRANCHDC01-B sans youvrir de session.

5. Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâchesuivante.




Tâche 2 : configuration d'un serveur de catalogue global (CG)

1. Exécutez Sites et services Active Directory en tant qu'administrateur, avec lenom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Configurez HQDC02 pour agir en tant que serveur CG.

3. Confirmez que BRANCHDC01 est un serveur de catalogue global.

Résultats : au terme de cet exercice, vous aurez configuré HQDC02 pour qu'il soit unserveur de catalogue global et confirmé que BRANCHDC01 est déjà un serveur decatalogue global.




Exercice 2 : Configuration de la mise en cache desappartenances à un groupe universelDans les sites sans serveur de catalogue global, la connexion des utilisateurs peut

échouer si le contrôleur de domaine du site est incapable de contacter un serveurde catalogue global d'un autre site. Pour éviter que ce scénario ne se produise, vouspouvez configurer un site de sorte qu'il mette en cache l'appartenance aux groupesuniversels. Dans cet exercice, vous allez créer un site qui reflète le bureau d'unesuccursale et le configurer pour qu'il mette en cache l'appartenance à des groupesuniversels.


• configurer la mise en cache de l'appartenance au groupe universel.

Tâche 1 : Configuration de la mise en cache de l'appartenance auxgroupes universels

• Configurez les Paramètres du site NTDS de BRANCHA de sorte que lescontrôleurs de domaine mette en cache l'appartenance à des groupesuniversels.

Résultats : Au terme de cet exercice, vous aurez configuré des contrôleurs de domainedans BRANCHA pour la mise en cache de l'appartenance aux groupes universels.




Exercice 3 : Examen du système DNS et des partitions del'annuaire d'applicationsDans cet exercice, vous allez explorer les enregistrements DNS relatifs à la

réplication et à la partition de l'annuaire d'applications DomainDnsZone, à l'aidede l'Éditeur ADSI.


1. Vérifier les enregistrements DNS relatifs à la réplication.

2. Vérifier la partition DNS de l'annuaire d'applications.

Tâche 1 : Examen des enregistrements DNS relatifs à la réplication

1. Exécutez le Gestionnaire DNS en tant qu'administrateur avec le nom

d'utilisateurPat.Coleman_Admin

et le mot de passePa$$w0rd

.2. Examinez les enregistrements SRV du domaine

_tcp.HEADQUARTERS._sites.contoso.com

3. Examinez les enregistrements SRV du domaine_tcp.BRANCHA._sites.contoso.com.

Tâche 2 : Examen de la partition DNS de l'annuaire d'applications

1. Cliquez sur Démarrer > Outils administratifs >Éditeur ADSI et entrez desinformations d'identification d'administrateur lorsque le système vous les

demande. Utilisez le compte Pat.Coleman_Admin et le mot de passePa$$w0rd.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Éditeur ADSI, puis choisissez Connexion à.

3. Dans la liste déroulante Sélectionnez un contexte d'attribution de nomsconnu, sélectionnez Configuration.

4. Acceptez toutes les autres valeurs par défaut. Cliquez sur OK .

5. Dans l'arborescence de la console, cliquez sur Configuration, puis développezcet élément.

6. Dans l'arborescence de la console, cliquez sur CN=Configuration,DC=contoso, DC=com, puis développez cet élément.

7. Dans l'arborescence de la console, cliquez sur CN=Partitions.




8. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez surConnexion.

9. Cliquez sur Sélectionnez ou entrez un nom unique ou un contexted'attribution de noms.

10. Dans la zone de liste déroulante, tapezDC=DomainDnsZones,DC=contoso,DC=com. Cliquez sur OK .

11. Dans l'arborescence de la console, cliquez sur Contexte d'attribution de nomspar défaut , puis développez cet élément.

12. Cliquez sur DC=DomainDnsZones,DC=contoso,DC=com, puis développezcet élément.

13. Cliquez sur CN=MicrosoftDNS, puis développez cet élément.

14. Cliquez sur DC=contoso.com.

15. Examinez les objets de ce conteneur. Comparez ces enregistrements auxenregistrements DNS que vous avez examinés dans l'exercice précédent.

Résultats : Au terme de cet exercice, vous aurez exploré les enregistrements DNS et lapartition DNS de l'annuaire d'applications pour le domaine contoso.com.

Important : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les

paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce

module.


Question : Décrivez la relation qui existe entre les enregistrements que vous avezaffichés dans l'Éditeur ADSI et ceux affichés dans le Gestionnaire DNS.

Question : Quand vous avez examiné les enregistrements DNS du domaine_tcp.BRANCHA._sites.contoso.com, quel contrôleur de domaine inscrivait lesenregistrements SRV dans le site ? Expliquez pourquoi.




Leçon 3

Configuration de la réplication

Dans la leçon 1, vous avez appris à créer des objets site et sous-réseau quipermettent à Active Directory et à ses clients de localiser l'accès à l'authentification

et à l'annuaire. Vous aviez également choisi l'emplacement des contrôleurs dedomaine. Dans la leçon 2, vous avez configuré des serveurs de catalogue global etdes partitions de l'annuaire d'applications. Vous avez géré les éléments à répliquerentre les contrôleurs de domaine. Dans cette leçon, vous allez découvrir commentet quand la réplication a lieu. Vous découvrirez pourquoi la configuration pardéfaut d'Active Directory prend en charge une réplication efficace et pourquoi vousdevez modifier cette configuration pour que la réplication soit encore plus efficace,en fonction de la topologie de votre réseau.





• créer des objets connexion pour configurer la réplication entre deux

contrôleurs de domaine ;• implémenter des liens de site et des coûts de liens de site pour gérer la

réplication entre plusieurs sites ;

• désigner des serveurs tête de pont privilégiés ;

• comprendre la notification et l'interrogation ;

• générer des rapports et analyser la réplication avec la commanderepadmin.exe ;

• vérifier le bon fonctionnement de la réplication Active Directory avec lacommande dcdiag.exe.




Fonctionnement de la réplication Active Directory

Points clésDans les leçons précédentes, vous avez appris à répartir les contrôleurs dedomaine en différents emplacements du réseau et comment représenter ces

emplacements par des objets site et sous-réseau. Vous avez également étudié laréplication des partitions de l'annuaire (schéma, configuration et domaine), le jeud'attributs partiel (catalogue global) et les partitions d'application. Le principalconcept à ne pas oublier concernant la réplication Active Directory est qu'elle estconçue pour, qu'en fin de compte, chaque réplica d'un contrôleur de domaine soitcohérent avec ceux de la partition hébergée par d'autres contrôleurs de domaine. Ilest peu probable que tous les contrôleurs de domaine possèdent exactement lesmêmes informations dans leurs réplicas à tout moment car le contenu del'annuaire est constamment modifié. Toutefois, la réplication Active Directorygarantit que toutes les modifications d'une partition seront transmises à tous lesréplicas de cette partition. La réplication Active Directory recherche un équilibre

entre la précision (ou intégrité) et la cohérence (on parle de convergence) et lesperformances (maintien du trafic de réplication à un niveau raisonnable). Cenuméro d'équilibriste est qualifié de faible interdépendance.




Voici les principales caractéristiques de la réplication Active Directory :

• Réplication multimaître : tout contrôleur de domaine peut déclencher etvalider une modification dans Active Directory.

• Réplication par réception : tout contrôleur de domaine demande ou « reçoit »des modifications de la part d'autres contrôleurs de domaine. Au fur et àmesure de votre découverte de la réplication, vous risquez d'oublier ceci. Eneffet, un contrôleur de domaine notifie ses partenaires de réplication que desmodifications de l'annuaire sont stockées chez lui. Ou un contrôleur dedomaine peut interroger ses partenaires pour savoir s'ils stockent de nouvellesmodifications de l'annuaire. Cependant, au final, les modifications elles-mêmessont demandées ou « réceptionnées » par le contrôleur de domaine cible.

• Réplication différée : un contrôleur de domaine peut réceptionner desmodifications en provenance d'un partenaire, puis les rendre disponibles pourun autre partenaire. Par exemple, le contrôleur de domaine B peut

réceptionner des modifications déclenchées par le contrôleur de domaine A.Ensuite, le contrôleur de domaine C peut recevoir ces modifications ducontrôleur de domaine B.

• Partitionnement du magasin de données : tous les contrôleurs d'un domainehébergent uniquement le contexte des noms de ce domaine. Ceci permet delimiter au maximum le volume de la réplication, particulièrement dans lesforêts à plusieurs domaines. D'autres données, dont les partitions de l'annuaired'applications et le jeu d'attributs partiel (catalogue global), ne sont pasrépliquées dans chacun des contrôleurs de domaine de la forêt, du moins dansla configuration par défaut.

• Génération automatique d'une topologie de réplication efficace et robuste : par défaut, Active Directory va configurer une topologie de réplication efficaceet bidirectionnelle afin que la défaillance de l'un des contrôleurs de domainene perturbe pas la réplication. Cette topologie est automatiquement mise à jour lorsque des contrôleurs de domaine sont ajoutés, supprimés ou déplacésd'un site à l'autre.

• Réplication au niveau des attributs : lorsque qu'un attribut d'un objet estmodifié, seul cet attribut est répliqué, ainsi que ses métadonnées minimales. Latotalité de l'objet n'est pas répliquée, sauf en cas de création d'objet.




• Différence de contrôle entre la réplication intrasite (au sein d'un seul site) etla réplications intersites (entre plusieurs sites) : la réplication peut êtrecontrôlée différemment dans ces deux situations.

• Détection et gestion des collisions : il arrive parfois, mais rarement, qu'un

attribut soit modifié dans deux contrôleurs de domaine différents au cours dela même fenêtre de réplication. Dans ce cas, les deux modifications devrontêtre rapprochées. Active Directory possède des algorithmes de résolutionspécialement conçus pour de telles situations.

Pour bien comprendre le fonctionnement de la réplication Active Directory, il suffitd'examiner chacun de ses composants. Les sections suivantes traitent lescomposants de la réplication Active Directory.




Réplication intrasite

Points clésCette section inclut une discussion sur les points clés suivants :

• Objets connexion

• Vérificateur de cohérence des données (KCC)

• Réplication intrasite

• Notification

• Interrogation

Objets connexion

Un contrôleur de domaine réplique les modifications d'un autre contrôleur dedomaine grâce aux objets connexion d'AD DS, couramment appelés objets connexion.

Les objets connexion apparaissent dans les outils administratifs du composantlogiciel enfichable Sites et services Active Directory sous forme d'objets stockésdans le conteneur Paramètres NTDS de l'objet serveur d'un contrôleur de domaine.




La capture d'écran suivante présente un exemple : un objet connexion de SERVER02configure la réplication de SERVER01 vers SERVER02. Tout objet connexionreprésente un chemin de réplication entre deux contrôleurs de domaine.

Les objets connexion sont unidirectionnels et représentent uniquement lesréplications entrantes. Dans Active Directory, la réplication est toujours unetechnologie de réception. Dans le domaine illustré ci-dessus, SERVER02 reçoit lesmodifications de SERVER01. Dans cet exemple, SERVER02 est considéré commeun partenaire de réplication en aval de SERVER01. SERVER01 est le partenaire enamont. Les modifications de SERVER01 s'écoulent vers SERVER02.

Remarque : réplication imposée. Vous pouvez imposer la réplication entre deux

contrôleurs de domaine en cliquant avec le bouton droit sur l'objet connexion et en

choisissant Répliquer maintenant. N'oubliez pas que la réplication est uniquement

entrante. Par conséquent, pour répliquer deux contrôleurs de domaine, vous devrez

répliquer l'objet connexion entrant de chaque contrôleur de domaine.

Vérificateur de cohérence des données (KCC)

Les chemins de réplication établis entre des contrôleurs de domaine par des objetsconnexion créent la topologie de réplication de la forêt. Heureusement, vous n'avezpas à créer cette topologie manuellement. Par défaut, Active Directory crée une

topologie qui garantit l'efficacité de la réplication. La topologie est bidirectionnelle. Ainsi, si un contrôleur de domaine échoue, la réplication se poursuit sansinterruption. La topologie garantit également qu'il n'y aura pas plus de trois sautsentre deux contrôleurs de domaine, quels qu'ils soient.




Dans la capture d'écran précédente, vous remarquerez que l'objet connexionindique qu'il a été généré automatiquement. Dans chaque contrôleur de domaine,un composant d'Active Directory appelé Vérificateur de cohérence deconnaissances (KCC, Knowledge Consistency Checker) facilite la création et

l'optimisation de la réplication automatique entre les contrôleurs de domaine d'unsite. Ce vérificateur KCC évalue les contrôleurs de domaine d'un site et crée lesobjets connexion nécessaires pour construire la topologie bidirectionnelle à troissauts décrite précédemment. Si un contrôleur de domaine est ajouté à un site ousupprimé, ou si un contrôleur de domaine ne répond plus, le vérificateur KCCréorganise la topologie dynamiquement, en ajoutant et en supprimant des objetsconnexion pour reconstruire une topologie de réplication efficace.

Vous pouvez créer des objets connexion manuellement pour spécifier des cheminsde réplication qui doivent perdurer. Les objets connexion créés manuellement nesont jamais supprimés par le vérificateur KCC.

Pour créer un objet connexion :1. Dans Sites et services Active Directory , localisez l'objet serveur du partenaire

de réplication en aval, c'est-à-dire le contrôleur de domaine qui va recevoir lesmodifications d'un contrôleur de domaine source. Cliquez avec le bouton droitsur le conteneur Paramètres NTDS dans l'objet serveur, puis choisissezNouvelle connexion aux services de domaine Active Directory .

2. Dans la boîte de dialogue Trouver des contrôleurs de domaine ActiveDirectory , sélectionnez le partenaire de réplication en amont, puis cliquez surOK .

3. Nommez le nouvel objet connexion, puis cliquez sur OK .

4. Ouvrez les propriétés de l'objet connexion. Utilisez le champ Description pour indiquer l'objectif de cet objet connexion créé manuellement.

Au sein d'un site, très peu de scénarios exigent la création d'un objet connexion.Parmi ces scénarios se trouvent les maîtres d'opérations de secours. Les maîtresd'opérations sont traités au Module 11. Il est recommandé de sélectionner descontrôleurs de domaine comme maîtres d'opérations de secours pour les utiliseren cas de transfert ou de captage du rôle de maître d'opérations. Tout maîtred'opérations de secours doit être un partenaire de réplication direct pour le maîtred'opérations actuel. Ainsi, si un contrôleur de domaine nommé DC01 est le maître

RID et que le contrôleur de domaine DC02 est le système qui assumera le rôle demaître RID en cas de déconnexion de DC01, alors un objet connexion doit êtrecréé dans DC02 afin que sa réplication s'effectue directement à partir de DC01.




Réplication intrasite

Après la création (automatique par le KCC ou manuelle) des objets connexionentre les contrôleurs de domaine d'un site, la réplication peut avoir lieu. Laréplication intrasite implique la réplication des modifications au sein d'un seul site.

Notification

Examinons le site illustré dans la capture d'écran précédente. Lorsque SERVER01effectue une modification dans une partition, il la met en file d'attente pour qu'ellesoit répliquée vers ses partenaires. SERVER01 attend 15 secondes, par défaut,avant de notifier son premier partenaire de réplication, SERVER02, de lamodification. La notification est le processus grâce auquel un partenaire en amontinforme ses partenaires en aval qu'une modification est disponible. SERVER01attend trois secondes, par défaut, entre les notifications envoyées à d'autrespartenaires. Ces délais, appelés délai de notification initial et délai de notificationconsécutif, sont conçus pour étaler le trafic réseau inhérent à la réplication

intrasite. À la réception de la notification, le partenaire en aval, SERVER02, demande lesmodifications à SERVER01, et l'Agent de réplication d'annuaire (DRA) effectue letransfert de l'attribut entre SERVER01 et SERVER02. Dans cet exemple, SERVER01a réalisé la modification initiale dans Active Directory. Il s'agit du contrôleur dedomaine d'origine et la modification qu'il effectue est à l'origine de la modification.Lorsque SERVER02 reçoit la modification de SERVER01, il effectue à son tour lamodification dans son annuaire. La modification n'est pas qualifiée de modificationrépliquée ; il s'agit néanmoins d'une modification. SERVER02 met la modificationen file d'attente pour sa réplication dans ses propres partenaires en aval.

SERVER03 est un partenaire de réplication en aval de SERVER02. Après 15secondes, SERVER02 notifie SERVER03 de la présence d'une modification.SERVER03 effectue la modification répliquée dans son annuaire, puis notifie sespartenaires en aval. La modification a nécessité deux sauts : de SERVER01 àSERVER02 et de SERVER02 à SERVER03. La topologie de réplication garantit qu'iln'y aura pas plus de trois sauts avant que tous les contrôleurs de domaine du siteaient reçu la modification. Avec environ 15 secondes par saut, la modification seraentièrement répliquée dans le site en une minute.




Interrogation

Il est possible que SERVER01 n'effectue aucune modification dans ses réplicaspendant une période assez longue, particulièrement pendant les heuresd'inactivité. Dans ce cas, SERVER02, son partenaire de réplication en aval, ne

recevra aucune notification de SERVER01. Il est également possible queSERVER01 soit hors ligne, ce qui l'empêche d'envoyer des notifications àSERVER02. Il est donc important pour SERVER02 de savoir que son partenaire enamont est en ligne et n'a simplement aucune modification.

Pour obtenir ces informations, on utilise un processus appelé interrogation.L'interrogation implique que le partenaire en aval contacte son partenaire enamont en lui demandant si des modifications sont en attente de réplication. Pardéfaut, l'intervalle d'interrogation est d'une fois par heure pour la réplicationintrasite. Il est possible, mais pas recommandé, de configurer la fréquenced'interrogation dans les propriétés d'un objet connexion en cliquant sur Modifier

la planification.Si un partenaire en amont ne parvient pas à répondre à des interrogations répétéesle partenaire en aval lance le vérificateur KCC pour vérifier la topologie deréplication. Si le serveur en amont est véritablement hors ligne, la topologie deréplication du site est reconstruite pour s'adapter à ce changement.




Liens de site

Points clésLe vérificateur KCC suppose que, au sein d'un site, tous les contrôleurs de domainepeuvent communiquer entre eux. Il construit une topologie de réplication intrasite

qui est indépendante de la connectivité réseau sous-jacente. Toutefois, entre les sites,vous pouvez représenter les chemins réseau sur lesquels la réplication doit seproduire en créant des objets lien de site. Un lien de site contient deux sites ou plus.Le Générateur de topologie intersites (ISTG, InterSite Topology Generator), uncomposant du vérificateur KCC, construit des objets connexion entre les serveursdans chacun des sites pour permettre la réplication intersites (entre les sites).

Ces liens de site sont mal connus. Il est important de ne pas oublier qu'un lien desite représente un chemin disponible pour la réplication. Un seul lien de site necontrôle pas les itinéraires qui sont utilisés au sein du réseau. Lorsque vous créezun lien de site et que vous lui ajoutez des sites, vous indiquez à Active Directoryqu'il peut procéder à la réplication entre tous les sites associés à ce lien de site. Legénérateur ISTG va créer des objets connexion, et ces objets vont déterminerl'itinéraire réel de la réplication. Bien que la topologie de réplication construite parle générateur ISTG réplique efficacement Active Directory, elle peut êtreinsuffisante selon la topologie de votre réseau.




Nous allons illustrer ce concept par un exemple. Lorsque vous créez une forêt, unobjet lien de site est créé : DEFAULTIPSITELINK. Par défaut, chaque nouveau siteajouté est associé à l'objet DEFAULTIPSITELINK. Imaginons une entreprise avecun centre de données hébergé par son siège social et trois succursales. Les trois

succursales sont toutes connectées au centre de données par une liaison dédiée. Vous créez des sites pour chaque succursale, Seattle (SEA), Amsterdam (AMS) etPékin (PEK). La figure suivante illustre la topologie des sites et du réseau.

Les quatre sites étant sur le même lien de site, vous indiquez à Active Directory queces quatre sites peuvent se répliquer mutuellement. Cela signifie qu'il est possibleque Seattle réplique les modifications d'Amsterdam, qu'Amsterdam réplique lesmodifications de Pékin et que Pékin réplique les modifications du siège social qui,à son tour, réplique les modifications de Seattle. Dans plusieurs de ces itinérairesde réplication, le trafic réseau de la réplication circule d'une succursale vers le siège

social sur sa route vers une autre succursale. Avec un seul lien de site, vous n'avezpas créé une topologie de réplication Hub and Spoke, même si la topologie devotre réseau est Hub and Spoke.

C'est pourquoi il est recommandé de créer manuellement des liens de site quireflètent la topologie physique de votre réseau. Pour l'exemple précédent, vouscréeriez trois liens de site :

• HQ-AMS, entre les sites Siège social et Amsterdam

• HQ-SEA, entre les sites Siège social et Seattle

• HQ-PEK, entre les sites Siège social et Pékin




Vous pourriez alors supprimer le lien de site par défaut DEFAULTIPSITELINK. Lafigure suivante illustre la topologie obtenue.

Après la création de vos liens de site, le générateur ISTG utilisera cette topologiepour construire une topologie de réplication intersites qui connecte chaque site.Des objets connexion seront construits pour configurer les chemins de réplicationintersites. Ces objets connexion sont créés automatiquement, mais vous pouvez lescréer manuellement, car il existe quelques scénarios qui exigent la créationmanuelle d'objets connexion intersites.




Protocoles de transport de la réplication

Points clésDans le composant logiciel enfichable Sites et services Active Directory, vousremarquerez que des liens de site sont stockés dans un conteneur nommé IP, qui

est lui-même stocké dans le conteneur Transports inter-sites. Les modificationssont répliquées entre les contrôleurs de domaine à l'aide de l'un des deuxprotocoles suivants :

Directory Service Remote Procedure Call (DS-RPC)

DS-RPC apparaît dans le composant logiciel enfichable Sites et services ActiveDirectory sous le nom IP. IP sert pour toutes les réplications intrasite et il s'agit duprotocole par défaut et privilégié pour la réplication intersites.

Inter-Site Messaging—Simple Mail Transport Protocol (ISM-SMTP)

Mieux connu sous le nom SMTP, ce protocole est utilisé uniquement lorsque les

connexions réseau entre les sites ne sont pas fiables ou pas toujours disponibles.




En général, vous pouvez supposer que vous utiliserez IP pour toute la réplicationintersites. Très peu d'entreprises utilisent SMTP pour la réplication du fait de lasurcharge administrative requise pour configurer et gérer une autorité decertification (CA) et car la réplication SMTP n'est pas prise en charge pour le

contexte des noms de domaine. Cela signifie que, si un site utilise SMTP pourrépliquer les modifications dans le reste de l'entreprise, ce site doit être son propredomaine.




Serveurs tête de pont

Points clésLe générateur ISTG crée une topologie de réplication entre les sites sur un lien desite. Pour améliorer l'efficacité de la réplication, un contrôleur de domaine est

sélectionné pour être le serveur tête de pont. Le serveur tête de pont est chargé detoute la réplication interne et externe au site pour une partition. Par exemple, si unsite de centre de données contient cinq contrôleurs de domaine, l'un d'eux sera leserveur tête de pont pour le contexte des noms de domaine. Toutes lesmodifications effectuées à la partition du domaine au sein du centre de donnéesseront répliquées dans tous les contrôleurs de domaine du site. Lorsque lesmodifications atteignent le serveur tête de pont, elles sont répliquées dans lesserveurs tête de pont des succursales, qui à leur tour les répliquent dans lescontrôleurs de domaine de leurs sites. De même, toutes les modifications ducontexte des noms de domaine dans les succursales seront répliquées à partir desserveurs tête de pont de ces succursales dans le serveur tête de pont du centre de

données, qui à son tour réplique ces modifications dans les autres contrôleurs dedomaine du centre de données. La figure suivante illustre la réplication intrasite ausein de deux sites et la réplication intersites utilisant des objets connexion entre lesserveurs tête de pont des sites.




Pour résumer, le serveur tête de pont est chargé de répliquer les modificationsd'une partition à partir des autres serveurs tête de pont dans d'autres sites. Il estégalement interrogé par les serveurs tête de pont des autres sites pour savoirquand des modifications doivent être répliquées par eux.

Les serveurs tête de pont sont sélectionnés automatiquement, et le générateurISTG crée la topologie de réplication intersites pour garantir que les modificationssont bien répliquées entre les serveurs tête de pont qui partagent un lien de site.Les serveurs tête de pont sont sélectionnés par partition. Il est donc possible qu'uncontrôleur de domaine d'un site soit le serveur tête de pont du schéma et qu'unautre soit celui de la configuration. Toutefois, vous découvrirez généralementqu'un contrôleur de domaine est le serveur tête de pont de toutes les partitions

d'un site, à moins qu'il existe des contrôleurs de domaine d'autres domaines oudes partitions de l'annuaire d'applications. Auquel cas, des serveurs tête de pontseront choisis pour ces partitions.

Serveurs tête de pont privilégiés

Vous pouvez également désigner un ou plusieurs serveurs tête de pont privilégiés.

Pour désigner un contrôleur de domaine comme serveur tête de pont privilégié :

1. Ouvrez les propriétés de l'objet serveur concerné dans le composant logicielenfichable Sites et services Active Directory .

2. Sélectionnez le protocole de transport, qui sera presque toujours IP, puiscliquez sur Ajouter.




Vous pouvez configurer plusieurs serveurs tête de pont privilégiés pour un site,mais un seul sera sélectionné et utilisé en tant que tête de pont. Si ce serveur têtede pont est défaillant, l'un des autres serveurs tête de pont privilégiés sera utilisé.

Il est important de savoir que, si vous avez spécifié un ou plusieurs serveurs tête de

pont et qu'aucun d'eux n'est disponible, aucun autre serveur n'est sélectionnéautomatiquement, et la réplication n'a pas lieu pour ce site, même s'il y a desserveurs pouvant jouer le rôle de tête de pont. Idéalement, vous ne devriez pasconfigurer de serveurs tête de pont privilégiés. Toutefois, pour des problèmes deperformance, vous pouvez être amené à attribuer le rôle de tête de pont auxcontrôleurs de domaine disposant des meilleures ressources système. Lesproblèmes de pare-feu peuvent également exiger qu'un seul serveur joue le rôle detête de pont, au lieu de laisser Active Directory sélectionner et peut-être réaffecterdes serveurs tête de pont au fur et à mesure.




Transitivité et ponts de liens de site

Points clés Après que vous ayez créé les liens de site et que le générateur ISTG ait généré lesobjets connexion pour répliquer les partitions entre les serveurs tête de pont qui

partagent un lien de site, votre travail est terminé. Dans de nombreuxenvironnements, particulièrement ceux dont les topologies réseau sont trèsdirectes, les liens de site doivent suffire pour gérer la réplication intersites. Dans lesréseaux plus complexes, toutefois, vous pouvez configurer des composants et despropriétés supplémentaires pour la réplication.

Transitivité des liens de site

Par défaut, les liens de site sont transitifs. Cela signifie que, pour reprendre notreexemple, si les sites Amsterdam et Headquarters (siège social) sont reliés, et queles sites Headquarters et Seattle sont reliés, alors Amsterdam et Seattle sont reliéstransitivement. En théorie, cela signifie que le générateur ISTG pourrait créer un

objet connexion directement entre une tête de pont à Seattle et une tête de pont à Amsterdam. On retrouve ici la topologie de réplication Hub and Spoke.




Vous pouvez désactiver la transitivité des liens de site en ouvrant les propriétés duTransport IP dans le conteneur Transports inter-sites et en désactivant Relier tousles liens de sites. Avant de procéder ainsi dans un environnement de production,prenez le temps de lire les ressources techniques sur la réplication, fournies par la

Bibliothèque technique Windows Server sur le site Microsoft TechNet à l'adressehttp://technet.microsoft.com.

Ponts entre liens de site

Un pont de liaison de sites connecte deux liens de sites ou plus de manière à créerun lien transitif. Les ponts entre liens de site ne sont nécessaires que lorsque vousavez désactivé l'option Relier tous les liens de sites pour le protocole de transport.N'oubliez pas que la transitivité des liens de site est activée par défaut, auquel cas,les ponts de liens de site n'auront aucun effet.

La figure suivante illustre l'utilisation d'un pont de liens de site dans une forêt danslaquelle cette transitivité a été désactivée. En créant un pont entre les liens de site,

AMS-HQ-SEA, qui inclut les liens HQ-AMS et HQ-SEA, ces deux liens de sitedeviennent transitifs. Ainsi, une connexion de réplication peut être établie entre uncontrôleur de domaine à Amsterdam et un autre à Seattle.




Contrôle de la réplication intersites

Points clésLes ponts clés de cette section comprennent les éléments suivants :

• Coûts de liaison entre sites

• Fréquence de réplication

• Planifications de la réplication

Coûts de liaison entre sites

Les coûts de liaison entre sites servent à gérer le flux du trafic de réplicationlorsque celui-ci comprend plusieurs itinéraires. Vous pouvez configurer le coût desliaisons entre sites pour indiquer qu'un lien est plus rapide, plus fiable ouprivilégié. Les coûts les plus élevés sont utilisés pour les liaisons lentes, et lesmoins élevés sont réservés aux liaisons rapides. Active Directory effectue laréplication à l'aide de la connexion présentant le coût le moins élevé.




Par défaut, tous les liens de site sont configurés avec un coût de 100. Pour modifierle coût d'un lien de site, ouvrez les propriétés de ce dernier et changez la valeurdans la zone de sélection numérique Coût, illustrée dans la capture d'écransuivante.

Pour reprendre notre exemple précédent, imaginons qu'un lien de site a été crééentre les sites Amsterdam et Pékin, comme dans la figure suivante.




Un tel lien de site pourrait être configuré pour autoriser la réplication entre lescontrôleurs de domaine de ces deux sites au cas où les liaisons avec le siège socialdeviennent indisponibles. Vous pourriez configurer une telle topologie dans lecadre d'un plan de récupération d'urgence, par exemple.

Avec le coût de lien de site par défaut de 100 attribué au lien AMS-PEK, ActiveDirectory répliquera les modifications directement entre Amsterdam et Pékin. Sivous configurez le coût sur 300, les modifications seront répliquées entre Amsterdam et le siège social, puis entre le siège social et Pékin pour un coût de200, au lieu de passer directement par AMS-PEK pour un coût de 300.

Fréquence de réplication

La réplication intersites repose uniquement sur l'interrogation ; il n'y a aucunenotification. Par défaut, toutes les trois heures, un serveur tête de pont interrogeses partenaires de réplication en amont pour savoir si des modifications sontdisponibles. Cet intervalle de réplication est trop long pour les entreprises qui

souhaitent que les modifications de leur annuaire soient répliquées plusrapidement. Vous pouvez modifier l'intervalle d'interrogation pour chaque lien desite.

Pour changer l'intervalle d'interrogation d'un lien de site :

• Ouvrez les propriétés du lien de site et modifiez la valeur dans la zone desélection numérique Réplication toutes les, illustrée dans la capture d'écranprécédente.

L'intervalle minimum d'interrogation est 15 minutes. Cela signifie que, avec laconfiguration par défaut de la réplication Active Directory, une modification de

l'annuaire effectuée dans un site ne sera pas répliquée dans les contrôleurs dedomaine d'un autre site avant plusieurs minutes.




Planifications de la réplication

Par défaut, la réplication a lieu 24 heures par jour. Toutefois, vous pouvez limiter laréplication intersites à des heures spécifiques en modifiant les attributs de laplanification d'un lien de site. Ouvrez les propriétés d'un lien de site et cliquez sur

le bouton Modifier la planification. Dans la boîte de dialogue Programmer à,illustrée dans la capture d'écran suivante, vous pouvez sélectionner les heuresdurant lesquelles le lien est disponible pour la réplication. Le lien illustré dans lafigure ne réplique pas de 08 h 00 à 18 h 00, du lundi au vendredi.

Vous devez planifier soigneusement la disponibilité des liens de site. Il est possiblede planifier des fenêtres de disponibilité qui ne se chevauchent pas, auquel cas, laréplication n'a pas lieu. Il n'est généralement pas recommandé de configurer ladisponibilité des liens. Si vous n'avez pas besoin de planifier les liens, vous devriezsélectionner l'option Ignorer les planifications dans les propriétés du protocole detransport IP. Cette option provoque le contournement des planifications de ladisponibilité des liens de site, assurant une réplication constante (24 heures sur24) pour tous les liens de site.




Surveillance et gestion de la réplication

Points clés Après avoir implémenté la configuration de votre réplication, vous devez pouvoirsurveiller son fonctionnement à des fins d'assistance continue, d'optimisation et de

résolution des problèmes. Deux outils sont particulièrement utiles pour générerdes rapports et analyser la réplication : l'Outil de diagnostic de la réplication(Repadmin.exe) et Diagnostic du serveur d'annuaire (Dcdiag.exe). Cette leçon vousprésente ces puissants outils.

Repadmin.exe

L'Outil de diagnostic de la réplication, Repadmin.exe, est un outil de ligne decommande qui vous permet de connaître l'état de la réplication dans chaque contrôleurde domaine. Les informations fournies par Repadmin.exe peuvent vous aider à détecterun problème potentiel avant qu'il ne soit hors de contrôle et à résoudre les problèmesde la réplication dans votre forêt. Vous pouvez afficher plusieurs niveaux de détails,

jusqu'aux métadonnées de la réplication pour des objets et des attributs spécifiques.Ceci vous permet de savoir où et quand une modification problématique a eu lieu dans Active Directory. Vous pouvez même exploiter l'outil Repadmin.exe pour créer votretopologie de réplication et imposer la réplication entre des contrôleurs de domaine.




Comme pour les autres outils de ligne de commande, tapez repadmin /? pourafficher des informations sur le fonctionnement de cet outil. Sa syntaxe de base estla suivante :

repadmin arguments de la commande...

L'outil Repadmin.exe prend en charge un certain nombre de commandes quiexécutent des tâches spécifiques. Pour en savoir plus sur chaque commande, tapezrepadmin /?:commande. La plupart des commandes exigent des arguments. Denombreuses commandes acceptent un paramètre DSA_LIST , qui est simplementl'étiquette réseau (nom DNS ou NetBIOS ou adresse IP) d'un contrôleur dedomaine. Voici certaines des tâches de surveillance de la réplication que vouspouvez effectuer avec l'outil Repadmin :

• Afficher les partenaires de réplication d'un contrôleur de domaine : pour cefaire, tapez repadmin /showrepl DSA_LIST . Par défaut, Repadmin.exe affiche

uniquement les connexions intersites. Pour afficher également les connexionsintrasite, ajoutez l'argument /repsto.

• Afficher les objets connexion d'un contrôleur de domaine : pour ce faire,tapez repadmin /showconn DSA_LIST .

• Afficher les métadonnées d'un objet, ses attributs et la réplication : vouspouvez en apprendre beaucoup sur la réplication en examinant un objet dansdeux contrôleurs de domaine différents pour savoir quels attributs ont étérépliqués ou non. Tapez repadmin /showobjmeta DSA_LIST Objet,oùDSA_LIST désigne le ou les contrôleurs de domaine à interroger (vous pouvezutiliser un astérisque [*] pour englober tous les contrôleurs de domaine). Objet

est l'identifiant unique de l'objet, par exemple son nom unique ou son GUID.

Repadmin vous permet également de modifier votre infrastructure de réplication. Voici certaines des tâches de gestion que vous pouvez effectuer :

• Lancer le vérificateur KCC : tapez repadmin /kcc pour obliger le vérificateurKCC à recalculer la topologie de réplication entrante pour le serveur.

• Imposer la réplication entre deux partenaires : utilisez Repadmin pourimposer la réplication d'une partition entre deux contrôleurs de domaine, l'unétant la source et l'autre la cible. Tapez repadmin /replicate DSA_LIST_CibleContexte_Noms_DSA_Source.

• Synchroniser un contrôleur de domaine avec tous ses partenaires deréplication : tapez repadmin /syncall DSA /A /e pour synchroniser uncontrôleur de domaine avec tous ses partenaires, y compris ceux des autres sites.




Dcdiag.exe

L'outil Diagnostic du serveur d'annuaire, Dcdiag.exe, effectue certains tests et vousrenseigne sur le bon fonctionnement de la réplication et de la sécurité dans AD DS.Utilisé tout seul, dcdiag.exe effectue des tests de synthèse et affiche les résultats. À

l'inverse, dcdiag.exe /c effectue pratiquement tous les tests. Le résultat des testspeut être envoyé dans des fichiers de divers types, y compris XML. Tapez dcdiag /?pour afficher les instructions complètes.

Vous pouvez également spécifier un ou plusieurs tests à exécuter à l'aide duparamètre /test:Nom Test. Les tests concernant directement la réplicationcomprennent :

• FrsEvent : signale toute erreur de fonctionnement dans le système deréplication de fichiers (FRS).

• DFSREvent : signale toute erreur de fonctionnement dans le système de

réplication DFS (DFSR).• Intersite : vérifie la présence de défaillances susceptibles d'empêcher ou de

retarder la réplication intersites.

• KccEvent : identifie les erreurs du vérificateur KCC.

• Replications : vérifie la rapidité de la réplication entre les contrôleurs dedomaine.

• Topology : vérifie que la topologie de réplication est parfaitement connectéepour tous les contrôleurs de domaine.

• VerifyReplicas : vérifie que toutes les partitions de l'annuaire d'applications

sont entièrement instanciées dans tous les contrôleurs de domaine quihébergent des réplicas.

Pour plus d'informations sur les outils Repadmin.exe et Dcdiag.exe, consultez leCentre d'aide et de support Microsoft.




Atelier pratique C : Configuration de laréplication

Scénario

Vous êtes l'administrateur de Contoso, Ltd. Vous souhaitez optimiser la réplicationd'AD DS en l'alignant sur la topologie de votre réseau et sur les rôles de contrôleurde domaine et leur emplacement.




Exercice 1 : Création d'un objet connexionIl est recommandé de configurer une réplication directe entre le contrôleur dedomaine qui jouera le rôle de maître d'opérations de secours et le contrôleur dedomaine qui est actuellement le maître d'opérations. Par la suite, si le maîtred'opérations actuel doit être déconnecté, le maître d'opérations de secours seraaussi à jour que possible avec le maître d'opérations. Dans cet exercice, vous allezcréer un objet connexion entre HQDC01 et HQDC02, où HQDC02, le maîtred'opérations de secours, réplique à partir de HQDC01, le maître d'opérationsactuel.



2. Créer un objet connexion.

Tâche 1 : Démarrage des ordinateurs virtuels et ouverture d'une

session

Les ordinateurs virtuels devraient déjà avoir été démarrés et être disponibles aprèsles Ateliers pratiques A et B. Toutefois, si ce n'est pas le cas, suivez la procédure ci-dessous, puis effectuez les exercices 1 à 3 des Ateliers pratiques A et B avant decontinuer.

• Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateurPat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateurvirtuel peut prendre plusieurs minutes.

• Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans youvrir de session.

• Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir desession.

• Après le démarrage de HQDC03, démarrez BRANCHDC01-B sans y ouvrir desession.

• Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâchesuivante.




Tâche 2 : Création d'un objet connexion

• Exécutez Sites et services Active Directory avec des informationsd'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le

mot de passe Pa$$w0rd.• Dans l'arborescence de la console, développez HEADQUARTERS, Servers et

HQDC02, puis cliquez sur le nœud NTDS Settings sous HQDC02.

• Cliquez avec le bouton droit sur NTDS Settings et choisissez Nouvelleconnexion aux services de domaine Active Directory .

• Dans la boîte de dialogue Trouver des contrôleurs de domaine ActiveDirectory , sélectionnez HQDC01, puis cliquez sur OK , et répondez Oui aumessage d'avertissement.

• Dans la boîte de dialogue Nouvel objet – Connexion, tapez le nom HQDC01 -

OPERATIONS MASTER , puis cliquez sur OK .

Résultats : Au terme de cet exercice, vous aurez créé un objet connexion pourrépliquer les modifications de HQDC01 vers HQDC02.




Exercice 2 : Création de liens de siteDans cet exercice, vous allez créer des liens entre le site du siège social et les autressites, pour obtenir une topologie de réplication Hub and Spoke.

Les tâches principales de cet exercice sont les suivantes :• Créer des liens de site.

Tâche 1 : Création de liens de site

• Renommez le lien DEFAULTIPSITELINK en HQ-HQB2, et modifiez-le desorte qu'il comprenne uniquement les sites HEADQUARTERS et HQ-BUILDING-2.

• Créez un nouveau lien de site IP nommé HQ-BRANCHA qui comprend lessites HEADQUARTERS et BRANCHA .

Résultats : Au terme de cet exercice, vous devriez avoir deux liens de site un qui relieles sites HEADQUARTERS et HQ-BUILDING-2, et un autre qui relie le sitesHEADQUARTERS et BRANCHA.




Exercice 3 : Déplacement de contrôleurs de domaine versdes sitesLorsque vous affectez un nouveau contrôleur de domaine, vous pouvez

sélectionner son site, mais, par défaut, il sera placé dans le site associé à sonadresse IP. Si vous modifiez des sites et des sous-réseaux après la mise en place descontrôleurs de domaine, vous devez déplacer les contrôleurs de domaine existantsdans les sites qui conviennent. Dans cet exercice, vous allez déplacer descontrôleurs de domaine dans les sites que vous avez créés au cours des ateliers dece module.


• Déplacer les contrôleurs de domaine vers de nouveaux sites.

Tâche 1 : Déplacement de contrôleurs de domaine vers de nouveauxsites

• Déplacez BRANCHDC01 dans le site BRANCHA .

Résultats : Au terme de cet exercice, vous devriez avoir déplacé BRANCHDC01 dans lesite BRANCHA.




Exercice 4 : Désignation d'un serveur tête de pont privilégié Vous pouvez désigner un serveur tête de pont privilégié qui gérera la réplicationdepuis et vers son site. Ceci s'avère pratique lorsque vous souhaitez attribuer cerôle à un contrôleur de domaine dans un site qui dispose de meilleures ressourcessystème ou lorsque des problèmes de pare-feu exigent que ce rôle soit attribué à unseul système fixe. Dans cet exercice, vous allez désigner un serveur tête de pontprivilégié pour le site.


• Désigner un serveur tête de pont privilégié.

Tâche 1 : Désignation d'un serveur tête de pont privilégié

• Configurez HQDC02 en tant que serveur tête de pont privilégié. Après cette

opération, un long message d'avertissement s'affiche. Lisez ce message. Nousen parlerons à la fin de cet atelier. Cliquez ensuite sur OK .

Résultats : Au terme de cet exercice, vous aurez désigné HQDC02 comme serveur têtede pont privilégié.




Exercice 5 : Configuration de la réplication intersites Après avoir créé des liens de site et, éventuellement, désigné des serveurs tête depont, vous pouvez affiner et contrôler votre réplication en configurant lespropriétés des liens de site. Dans cet exercice, vous allez réduire l'intervalled'interrogation de la réplication intersites et augmenter le coût d'un lien de site.


• Configurer la réplication intersites.

Tâche 1 : Configuration de la réplication intersites

• Configurez l'intervalle de réplication du lien de site HQ-HQB2 sur 15 minutes.

• Configurez l'intervalle de réplication du lien de site HQ-BRANCHA sur 15 minutes, et le coût sur 200.

• Examinez la planification de la réplication du lien de site HQ-BRANCHA .Testez la configuration de la planification avec plusieurs valeurs, mais cliquezsur Annuler lorsque vous avez terminé.

Résultats : Au terme de cet exercice, vous devriez avoir configuré l'intervalle de laréplication intersites sur 15 minutes pour tous les liens de site.

Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les

disques d'annulation.





Question : Expliquez la signification du message d'avertissement qui s'est affichélorsque vous avez désigné HQDC02 comme serveur tête de pont privilégié.

Question : Quels sont les avantages de la réduction de l'intervalle de la réplicationintersites ? Quels en sont les inconvénients ?

Question : La topologie de réplication Hub and Spoke garantit que toutes lesmodifications des succursales seront répliquées d'abord dans le site du siège socialavant de l'être dans les autres succursales. La procédure que vous avez exécutéedans l'Exercice 2 est-elle suffisante pour créer une topologie de réplication Huband Spoke ? Si elle est insuffisante, que manque-t-il encore ?



Continuité du service d'annuaire 13-1

Module 13Continuité du service d'annuaire

Table des matières :Leçon 1 : Surveillance d'Active Directory 13-4

Atelier pratique A : Surveillance des événements et des performancesd'Active Directory 13-29

Leçon 2 : Gestion de la base de données Active Directory 13-48

Atelier pratique B : Gestion de la base de données Active Directory 13-66

Leçon 3 : Sauvegarde et restauration des services AD DS et descontrôleurs de domaine 13-74

Atelier pratique C : Sauvegarde et restauration d'Active Directory 13-89





En tant que professionnel de l'informatique chargé de gérer Windows Server 2008et AD DS, la réussite de votre carrière est étroitement liée au bon fonctionnementde votre domaine. Si le domaine sombre, il en va de même de votre carrière. Dansce module, vous allez découvrir les technologies et les outils qui vous aideront àassurer le bon fonctionnement et la longévité du service d'annuaire. Vous allezapprendre à exploiter certains outils pour surveiller les performances en temps réelet à enregistrer au fur et à mesure ces performances dans un journal pour garderun œil sur les tendances et déceler les problèmes potentiels. Vous apprendrezégalement à optimiser et à protéger votre service d'annuaire de manière à rétabliraussi rapidement que possible tout contrôleur de domaine défaillant.





• contrôler les performances et les événements en temps réel avec le

Gestionnaire des tâches, l'Observateur d'événements et le Moniteur de fiabilitéet de performances Windows ;

• tirer parti des nouvelles fonctionnalités de l'Observateur d'événements de Windows Server 2008, notamment des vues personnalisées et desabonnements aux événements ;

• contrôler les performances en temps réel et enregistrées avec l'Analyseur deperformances, des jeux d'éléments de collecte de données et des rapports ;

• identifier les sources d'informations relatives aux performances et auxévénements des contrôleurs de domaine AD DS ;

• créer des alertes en fonction d'événements et de mesures de performances ;

• gérer et optimiser la base de données Active Directory ;

• sauvegarder et restaurer AD DS et les contrôleurs de domaine ;

• restaurer les objets et les attributs supprimés.




Leçon 1

Surveillance d'Active Directory

Les problèmes de performances sont une réalité. Le plus important est la façon dontvous y répondez, comment vous les évaluez et comment vous les corrigez. Dans cette

leçon, vous allez apprendre à exploiter les outils de surveillance des performances etdes événements de Windows Server 2008 pour contrôler de façon réactive etproactive le bon fonctionnement de vos contrôleurs de domaine et d'AD DS.


• surveiller les performances en temps réel avec le Gestionnaire des tâches, leMoniteur de ressources et l'Analyseur de performances ;

• examiner les événements et les modifications avec le Moniteur de fiabilité etl'Observateur d'événements ;

• tirer parti des nouvelles fonctionnalités de l'Observateur d'événements de Windows Server 2008, notamment des vues personnalisées et desabonnements aux événements ;




• contrôler les performances en temps réel et enregistrées avec l'Analyseur deperformances, des jeux d'éléments de collecte de données et des rapports ;

• identifier les sources d'informations relatives aux performances et auxévénements des contrôleurs de domaine AD DS ;

• créer des alertes en fonction d'événements et de mesures de performances.




Fonctionnement des performances et des engorgements

Points clésLes performances médiocres d'un système sont généralement imputables à desressources système insuffisantes. Les quatre principales ressources système sont le

processeur, le sous-système de disque, la mémoire et le réseau.

Pour identifier et corriger les engorgements, vous devez étudier avec soin les journaux système et les compteurs de performances afin de détecter les ressourcesactuellement limitées. Après l'augmentation de ces ressources, les performancess'améliorent généralement, puis atteignent un plafond lorsqu'elles se heurtent à unnouvel engorgement dû à la surcharge d'autres ressources système.

Dans cette leçon, vous allez étudier les différents outils qui vous permettront desurveiller les performances en temps réel et d'examiner les modifications et lesévénements du système susceptibles d'avoir entraîné une dégradation progressivedes performances.




Gestionnaire des tâches

Points clésTout professionnel de l'informatique se doit de connaître le Gestionnaire des tâchesde Windows. Windows Server 2008 a considérablement amélioré les capacités du

Gestionnaire des tâches. Outre les onglets habituels Applications et Processus, Windows Server 2008 propose des informations détaillées sur les services et une vuegénérale des performances de trois ressources système : le processeur, le réseau et lamémoire. Le Gestionnaire des tâches n'expose pas de compteur de performances entemps réel pour les disques. Enfin, le Gestionnaire des tâches permet d'obtenir laliste des utilisateurs actuellement connectés, sans qu'il soit nécessaire d'ouvrir lecomposant logiciel enfichable de gestion des services Terminal Server.

Pour ouvrir le Gestionnaire des tâches, effectuez l'une des étapes suivantes :

• Appuyez sur Ctrl+Maj+Échap.

• Appuyez sur Ctrl+Alt+Suppr et cliquez sur le Gestionnaire des tâches.

• Cliquez du bouton droit dans la barre des tâches et choisissez Gestionnairedes tâches.

• Cliquez sur le bouton Démarrer et tapez taskmgr.exe dans la zone de texteRechercher.




Dans l'onglet Processus, vous pouvez cliquer sur Afficher les processus de tous lesutilisateurs pour obtenir des informations détaillées sur les processus quis'exécutent dans le contexte du système ou dans d'autres contextes utilisateur.

Dans l'onglet Performances, cliquez sur Moniteur de ressources pour ouvrir la

nouvelle vue des performances en temps réel.




Moniteur de ressources

Points clésLe Moniteur de ressources est semblable au Gestionnaire des tâches, en bienmieux. Il propose une vue détaillée des performances de chacun des composants

clés du système (processeur, disque, réseau et mémoire) sous forme graphique oudans un rapport détaillé. Lorsque vous devez résoudre des problèmes deperformance en temps réel, ou comprendre la raison pour laquelle un systèmes'exécute lentement, le Moniteur de ressources est le premier outil vers lequel vousdevez vous tourner.

Pour ouvrir le Moniteur de ressources, effectuez l'une des étapes suivantes :

• Ouvrez le Gestionnaire des tâches, cliquez sur l'onglet Performances, puissur Moniteur de ressources.

• Cliquez sur le bouton Démarrer, tapez perfmon /res dans le champ

Rechercher, puis appuyez sur Entrée.• Cliquez sur la racine du composant logiciel enfichable Analyseur de fiabilité et

de performances Windows.




Observateur d'événements

Points clésLors du développement de Windows Server 2008, Microsoft® a entièrement réécrit

l'Observateur d'événements. En arrière-plan, les événements sont stockés dans unnouveau format de fichier journal d'événements (.elf). Les événements sontprésentés dans les journaux classiques de Windows tels que Application, Sécuritéet Système, et dans des douzaines de nouveaux blogs dédiés à la surveillance desévénements liés à des composants système spécifiques.

Pour simplifier votre compréhension de ces nouveaux événements et journaux,l'Observateur d'événements propose des vues récapitulatives qui cumulent lesévénements de plusieurs journaux. Il vous permet également de réunir lesévénements de plusieurs journaux dans des vues personnalisées. Si vous ouvrez leGestionnaire de services, vous verrez également que les événements propres auxrôles sont présentés dans la page d'accueil de chaque rôle.

Les événements eux-mêmes ont également été améliorés. Ils fournissent bien plusde détails que par le passé, et vous remarquerez qu'il vous arrivera bien moinssouvent de vous interroger sur la signification réelle d'un événement.




Mieux encore peut-être, le sous-système d'événements a été intégré à d'autrescomposants Windows. À présent, grâce à intégration au Planificateur de tâches,vous pouvez déclencher une action sur la base d'un événement spécifique. Cetteaction peut inclure l'envoi d'un message électronique. C'est vrai : Windows peut à

présent vous envoyer une alerte électronique (et éventuellement une page ou unmessage texte) en cas de problème. Vous pouvez également déclencher un scriptspécifique ou un fichier exécutable en réponse à un événement, par exemple, unscript qui redémarre un service lorsque celui-ci s'arrête.

La Gestion à distance de Windows (WinRM), ensemble de services Web quipermet de gérer les systèmes Windows, est un autre composant majeur à présentintégré au sous-système d'événements. Cette intégration vous permet de réunir lesévénements de plusieurs ordinateurs en un seul emplacement, en vous abonnantaux événements survenus dans des systèmes distants. Lorsqu'un système distantenregistre un événement qui correspond à vos critères, cet événement est transmisà un journal stocké dans l'ordinateur chargé de la collecte.

Lectures complémentaires• Observateur d'événements





Démonstration : Observateur d'événements

Points clésDans cette démonstration, votre instructeur va vous présenter certaines desfonctionnalités de l'Observateur d'événements décrites dans la diapositive

précédente. Il en profitera pour vous donner quelques conseils supplémentaires etpour s'assurer que l'Observateur d'événements n'a plus de secrets pour vous.

Vous aurez la possibilité de mettre ces tâches en pratique dans l'atelier associé à cemodule.

Votre instructeur vous fera également remarquer les quatre journauxparticulièrement importants pour la surveillance des contrôleurs de domaine :

• Service d'annuaire

• DNS

• DFSR

• Journal opérationnel de la stratégie de groupe




Étapes de la démonstration1. Ouvrez l'Observateur d'événements et examinez la nouvelle apparence de la

console MMC (Microsoft® Management Console).

2.

Remarquez la vue résumée par défaut, puis développez les vues personnaliséeset affichez les vues personnalisées par défaut.

3. Développez les Journaux Windows et affichez les journaux traditionnels et lesnouveaux.

4. Ouvrez l'un des journaux et examinez les options disponibles dans le volet Actions.

Remarquez également qu'il est possible de relier une tâche à un événement àl'aide de l'Assistant Créer une tâche de base.

Il est également possible de copier les détails d'un événement sous forme de

texte dans le Bloc-notes.5. Double-cliquez sur un événement pour afficher ses détails.

6. Développez le dossier Microsoft Windows pour afficher les journaux.

7. Vous pouvez également vous connecter à un autre ordinateur.

Rappel : la gestion des journaux d'événements à distance doit être activée dans le pare-feu de l'ordinateur distant. L'utilisation du pare-feu fait partie du prochain atelier decette leçon.




Vues personnalisées

Points clésLes vues personnalisées sont des filtres qui sont nommés et enregistrés. Une fois lavue personnalisée créée et enregistrée, vous êtes en mesure de la réutiliser sans

avoir à recréer son filtre sous-jacent. Pour réutiliser une vue personnalisée, accédezà la catégorie Vues personnalisées dans l'arborescence de la console et sélectionnezle nom de la vue concernée. Ainsi, vous appliquez le filtre qui lui est associé et lesrésultats sont affichés. Vous pouvez importer et exporter les vues personnalisées,ce qui vous permet de les partager entre des utilisateurs et des ordinateurs.

Lectures complémentaires• Création et gestion des vues personnalisées





Abonnements

Points clésLe composant logiciel enfichable Observateur d'événements vous permet de vousconnecter à un ordinateur distant pour examiner ses journaux d'événements.

Toutefois, résoudre efficacement un problème peut impliquer d'examiner lesévénements stockés dans plusieurs ordinateurs.

Sous Windows Server 2008, l'Observateur d'événements vous permet de vousabonner à des événements spécifiques sur un ou plusieurs ordinateurs distants, decollecter ces événements et de les stocker localement. Après la création d'unabonnement à un événement, les événements sont transmis des ordinateurs sourcevers l'ordinateur chargé de la collecte, sur lequel il est alors possible d'afficher et demanipuler les événements comme s'il s'agissait d'événements locaux.

Lectures complémentaires•

Abonnements aux événementshttp://go.microsoft.com/fwlink/?LinkId=168453




Démonstration : Configuration des vues personnalisées etdes abonnements

Points clésDans cette démonstration, votre instructeur va vous présenter certaines desfonctionnalités des Vues personnalisées et des Abonnements aux événements décritsdans la diapositive précédente. Il en profitera pour vous donner quelques conseilssupplémentaires et pour vérifier que ces fonctionnalités n'ont plus de secret pour vous.

Vous aurez la possibilité de mettre vous-même ces tâches en pratique dans l'atelierassocié à ce module.

Étapes de la démonstrationCréation d'une vue personnalisée

1. Nous allons créer une nouvelle vue personnalisée qui capture les événementsd'erreur issus de journaux Active Directory spécifiques.

2. Nous exporterons ensuite la vue dans un fichier XML.

3. Nous supprimerons la vue personnalisée d'origine, puis importerons le fichierXML.




Création d'un abonnement

1. Pour cette opération, nous devons vérifier que nous sommes bien connectés àl'ensemble des ordinateurs source et collecteur en tant qu'administrateur.

2.

Dans chaque ordinateur source, tapez winrm quickconfig avec une invite decommande élevée.

3. Dans l'ordinateur collecteur, tapez Wecutil qc avec une invite de commandeélevée.

4. Ajoutez le compte de l'ordinateur collecteur au groupe Administrateurs localdans chaque ordinateur source.

5. Créez l'abonnement.

6. Filtrez les événements pour n'afficher que les erreurs du journal système.

Lectures complémentaires• Création d'une vue personnalisée


• Configuration des ordinateurs pour la transmission et la collecte desévénementshttp://go.microsoft.com/fwlink/?LinkId=99513




Analyseur de fiabilité et de performances Windows(WRPM)

Points clésL'Analyseur de fiabilité et de performances Windows (WRPM) est une suite decomposants logiciels enfichables nouveaux et améliorés qui améliorentconsidérablement votre capacité à surveiller le bon fonctionnement et lesperformances de vos serveurs Windows, de façon réactive et proactive.

Le Moniteur de fiabilité surveille les modifications apportées au système, notammentles installations et les désinstallations de logiciels. L'Analyseur de performances génèredes vues graphiques ou des rapports à partir des données de performances journalisées ou en temps réel. Les Ensembles de collecteurs de données et les Rapportsvous permettent de gérer la collecte et de vérifier les données de performances.

Vous découvrirez chacun de ces outils au cours de ce module et vous aurez vous-même la possibilité de les utiliser dans l'atelier associé à ce module.

Lectures complémentaires• Analyseur de fiabilité et de performances Windows





Démonstration : Analyseur de ressources et deperformances Windows (WRPM)

Points clésDans cette démonstration, votre instructeur va vous présenter rapidement WRPM,de sorte que vous connaissiez les différents composants logiciels enfichables etnœuds de cette puissante suite d'outils d'administration.

Étapes de la démonstration1. Ouvrez le Moniteur de fiabilité et de performances.

2. Examinez l'écran Vue d'ensemble des ressources. Développez certainessections pour en afficher les détails.

3. Ouvrez l' Analyseur de performances. Cette fonctionnalité n'a pas vraimentchangé depuis Windows Server 2003.

4. Ouvrez le Moniteur de fiabilité. Parcourez et examinez certains détails.5. Ouvrez les Rapports et remarquez les rapports système disponibles.




Analyseur de fiabilité

Points clésLe Moniteur de fiabilité permet d'examiner la stabilité du système et les

événements et modifications qui affectent son intégrité globale. Il surveillel'installation et la désinstallation de logiciels et les défaillances de Windows, desapplications et du matériel.

Le Moniteur de fiabilité calcule un index de stabilité du système qui montre, sousforme graphique, si des problèmes inattendus ont réduit la fiabilité. Lesinformations fournies par le Rapport de stabilité du système associé permettent devoir si la baisse de fiabilité est due à des modifications spécifiques.

Lectures complémentaires• Utilisation du Moniteur de fiabilité





Analyseur de performances

Points clésL'Analyseur de performances permet d'examiner les performances du système sousforme de graphiques ou de rapports. Alors que le Moniteur de ressources présente

les performances associées aux composants du système (processeur, disque,mémoire et réseau), l'analyseur de performances permet d'examiner lesperformances de manière plus approfondie. Même pour les composants système,l'Analyseur de performances donne davantage d'informations : utilisation dudisque par partition ou volume physique, utilisation du processeur par cœur ettypes spécifiques de paquets envoyés ou reçus, par exemple.

L'Analyseur de performances propose également des compteurs pour lesperformances de nombreux composants, rôles, services et fonctionnalités plusgranulaires. Pendant l'installation, les composants Windows peuvent enregistrerdes compteurs de performances via l'Analyseur de performances. Par exemple,

lorsque vous ajoutez le rôle AD DS à un serveur, l'objet performance NTDS(Service d'annuaire Windows NT) est enregistré et propose des douzaines decompteurs relatifs aux performances du service d'annuaire.




L'Analyseur de performances vous permet de créer de façon interactive unensemble de compteurs à surveiller en temps réel. Vous pouvez égalementenregistrer les compteurs dans l'Ensemble de collecteurs de données, réutilisable àtout moment pour consulter les performances en temps réel, ou que vous pouvez

lancer ultérieurement pour enregistrer les performances dans un journal.Les compteurs les plus utiles pour surveiller un serveur, et qui peuvent révéler lesengorgements des principaux composants système, sont les suivants :

• Mémoire \ Pages/sec

• Disque physique \ Long. moy. de file d'attente du disque

• Processeur \ % Temps processeur

Dans un contrôleur de domaine, vous devez au moins surveiller les compteurs deperformances suivants, proposés par l'objet NTDS (Service d'annuaire Windows NT) :

• NTDS\ Nb total d'octets DRA entrants/seconde

• NTDS\ Objets DRA entrants

• NTDS\ Nb total d'octets DRA sortants/seconde

• NTDS\ Nb de synchronisations de réplication DRA en attente

• NTDS \ Authentifications Kerberos/s

• NTDS\ Authentifications NTLM

Windows Server 2008 autorise les utilisateurs à consulter et à journaliser les

performances sans qu'ils soient membres du groupe Administrateurs local. Pourpermettre à un utilisateur non administrateur d'exploiter l'Analyseur deperformances, ajoutez-le au groupe Utilisateurs du journal de performances. Legroupe Utilisateurs du journal de performances doit également être autorisé àouvrir une session en tant que tâche, autorisation définie par défaut pour cegroupe.

Lectures complémentaires• Utilisation de l'Analyseur de performances





Ensembles de collecteurs de données

Points clésBien qu'il soit possible d'ajouter des compteurs dans une vue de l'Analyseur deperformances de façon interactive, la répétition de cette opération devient vite

ennuyeuse et, à long terme et sur plusieurs systèmes, difficile à gérer. De plus,d'autres sources d'informations que les compteurs de performances, telles que lesuivi des événements et des paramètres du Registre, permettent de surveiller avecprécision les performances et le bon fonctionnement d'un système.

L'ensemble de collecteurs de données est la pierre angulaire des rapports et del'analyse de WRPM. Un ensemble de collecteurs de données organise lescompteurs de performances et les paramètres du Registre et présente ces donnéesà partir d'un seul composant, utilisable ensuite pour consulter les performances entemps réel ou enregistrer les performances selon un planning ou undéclenchement manuel. L'ensemble de collecteurs de données et les informationsenregistrées sont ensuite consultables sous forme de rapport ou peuvent êtrechargées dans l'Analyseur de performances ou l'une des différentes applicationsMicrosoft ou autre. Les ensembles de collecteurs de données peuvent égalementêtre configurés pour générer des alertes lorsque certains seuils sont atteints, oupour déclencher des actions WMI (Windows Management Instrumentation).




Lectures complémentaires• Création d'ensembles de collecteurs de données





Démonstration : Surveillance des services AD DS

Points clésDans cette démonstration, votre instructeur va configurer un ensemble decollecteurs de données AD DS, en décrivant les concepts et les outils présentés à la

diapositive précédente.

Vous aurez la possibilité de revoir et de mettre en pratique des procéduressimilaires au cours de l'atelier de cette leçon.

Étapes de la démonstrationCréez un nouvel ensemble de collecteurs de données nommé Active Directorypersonnalisé.

1. Ajoutez les compteurs de base du serveur.

2. Ajoutez certains compteurs Active Directory, puis démarrez l'Ensemble de

collecteurs de données.3. Effectuez quelques opérations pour générer des statistiques. Par exemple,

créez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.




4. Arrêtez l'Ensemble de collecteurs de données et examinez le rapport définipar l'utilisateur.

5. Dans le conteneur système, démarrez l'Ensemble de collecteurs de donnéesDiagnostics Active Directory .

6. Effectuez quelques opérations pour générer des statistiques. Par exemple,créez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.

7. Arrêtez l'Ensemble de collecteurs de données et examinez le rapport définipar le système.




Recommandations en matière de surveillance

Points clésPour élaborer une structure de surveillance efficace, respectez les directivessuivantes :

Surveillance en amont pour établir des références

Il est essentiel de surveiller les performances pendant que le système fonctionnenormalement. Vous pouvez ainsi établir des références et connaître les plagesprévues des compteurs de performances. Pour obtenir des mesures de référence,surveillez les compteurs de performances pendant les périodes d'activité etd'inactivité.

Surveillance fréquente pour détecter les problèmes potentiels

Établissez une routine de surveillance régulière, éventuellement en planifiant desensembles de collecteurs de données, et comparez les journaux et les rapports à

vos mesures de référence. Recherchez les valeurs s'écartant inhabituellement desvaleurs prévues de manière à détecter les problèmes potentiels avant qu'ils ne semanifestent dans votre service d'annuaire.




Surveillance et interprétation des performances avant l'apparition d'unengorgement

Vous n'aurez pas le temps d'apprendre à collecter et à interpréter les compteurs deperformances et les événements si vous attendez qu'un véritable problème

survienne. Vous devez donc anticiper et prendre le temps d'apprendre à exploiterles outils et savoir quels les compteurs vous donnent les informations les plussignificatives sur les performances dans votre entreprise. Définissez des ensemblesde collecteurs de données qui simplifieront la collecte des performances en cas decrise et n'oubliez pas de les exporter pour les sauvegarder en cas de panne dusystème qui sert habituellement pour la surveillance.

Collecte des données les plus pertinentes

Ne poussez pas trop loin la surveillance. Si vous tentez de surveiller tous lescompteurs, tous les suivis d'événements et toutes les entrées du Registre, vous allezcréer un tel volume d'informations sur les performances qu'il vous sera difficile d'y

repérer les vrais problèmes. De plus, la surveillance des performances dégradelégèrement les performances du système. Choisissez vos activités de surveillanceen fonction des besoins de votre entreprise.




Atelier pratique A : Surveillance desévénements et des performances d'Active

Directory

ScénarioLe mois dernier, la panne du seul contrôleur de domaine de la succursale aentraîné la déconnexion du centre d'appels de Contoso pendant une journéeentière et une perte importante de bénéfices. Vous avez été engagé pour remplacerl'administrateur qui avait configuré un emplacement sensible, sans surveillance niredondance de l'authentification. Cette semaine, vous vous efforcez de configurerla surveillance afin d'être certain de pouvoir examiner en permanence lesperformances et la fiabilité et de déceler tout signe de problème.




Exercice 1 : Surveillance des performances en temps réelavec le Gestionnaire des tâches et le Moniteur deressources

Dans cet exercice, vous allez utiliser le Gestionnaire des tâches et le Moniteur deressources pour examiner les performances générales en temps réel. Cela vouspermettra d'identifier les engorgements et les processus ou services quiconsomment trop de ressources système.



2. Surveiller les performances en temps réel avec le Gestionnaire des tâches.

3. Surveiller les performances en temps réel avec le Moniteur de ressources.


• Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateurPat.Coleman et le mot de passe Pa$$w0rd.

• Exécutez D:\Labfiles\Lab13a\Lab13a_Setup.bat avec des droitsadministratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd.

• Le script d'installation de l'atelier s'exécute. Lorsqu'il est terminé, appuyez surune touche quelconque.

• Fermez la fenêtre de l'Explorateur Windows, Lab13a.

• Démarrez 6238B-HQDC02-B.

• Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et lemot de passe Pa$$w0rd.

Tâche 2 : Surveillance des performances en temps réel avec le

Gestionnaire des tâches

1. Dans HQDC01, appuyez sur Ctrl+Maj+Échap pour lancer le Gestionnaire destâches.

2. Ouvrez l'onglet Processus et examinez les commandes disponibles lorsquevous cliquez du bouton droit sur taskmgr.exe. Examinez les propriétés d'unprocessus en ouvrant la boîte de dialogue Propriétés de taskmgr.exe.




3. Affichez les processus de tous les utilisateurs. Vous aurez pour cela besoind'informations d'identification d'administration. Utilisez le nom d'utilisateurPat.Coleman_Admin et le mot de passe Pa$$w0rd.

4. Dans l'onglet Services, arrêtez, puis démarrez le service Dnscache.

5. Cliquez du bouton droit sur le service Dnscache et choisissez Aller dans leprocessus.

Question : Quel processus héberge le service Client DNS ?

6. Cliquez du bouton droit sur le processus et choisissez Accéder aux services.

Question : L'onglet Services présente le sous-ensemble des fonctionnalités les plusutilisées d'un composant logiciel enfichable d'administration. Lequel ?

7. Cliquez sur le bouton Services. La console Services s'affiche. Fermez laconsole Services.

8. Ouvrez l'onglet Utilisateurs. Cet onglet présente les utilisateurs qui sontconnectés en local (console) ou à distance au serveur.

9. Ouvrez l'onglet Réseau.

Cet onglet donne un aperçu des performances de chaque carte réseaudisponible.

10. Ouvrez l'onglet Performances.Cet onglet donne un aperçu des performances de l'utilisation du processeur etde la mémoire.

Question : Quel composant système majeur n'apparaît pas dans le Gestionnairedes tâches ?




Tâche 3 : Surveillance des performances en temps réel avec le

Moniteur de ressources

1. Dans l'onglet Performances du Gestionnaire des tâches, cliquez sur le bouton

Moniteur de ressources.Si le système vous demande des informations d'identification d'administration,utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Le Moniteur de ressources s'affiche. Agrandissez la fenêtre du Moniteur deressources et fermez le Gestionnaire des tâches.

3. Cliquez sur le graphique du Processeur. Quelle utilisation du processeur estgénérée par le Moniteur de fiabilité et de performances lui-même ?

4. Cliquez de nouveau sur le graphique du Processeur. La section Processeur seréduit.

5. Cliquez sur le graphique Disque. Quel fichier présente le plus d'activités delecture ? Quel processus génère cette activité de lecture pour ce fichier ? Quelfichier présente le plus d'activités d'écriture ? Quel processus génère cetteactivité d'écriture pour ce fichier ?

Pour afficher l'activité du fichier d'échange, cliquez sur le titre de la colonneFichier. Si C:\pagefile.sys n'apparaît pas dans la liste, ouvrez une applicationtelle que le Gestionnaire de serveur. Cette opération devrait générer uneactivité dans le fichier d'échange.

Question : Combien de processus lisent ou écrivent dans le fichier pagefile.sys ?

Question : Quel composant système doit être augmenté lorsque l'activité delecture et d'écriture du fichier d'échange est constamment élevée ?

6. Fermez le Gestionnaire de ressources. Cliquez sur le bouton Démarrer etexécutez perfmon en tant qu'administrateur avec le nom d'utilisateurPat.Coleman_Admin et le mot de passe Pa$$w0rd.

Les utilisateurs qui sont membres des groupes Utilisateurs de l'analyseur deperformances, Utilisateurs du journal de performances et Administrateurslocal, peuvent accéder à plus de fonctionnalités depuis WRPM.

La Page d'accueil de la console est la Vue d'ensemble des ressources, quicorrespond au Moniteur de ressources. Notez que l'arborescence de la consolecontient tous les composants logiciels enfichables WRPM. Fermez la fenêtreMoniteur de fiabilité et de performances.




7. Cliquez sur le bouton Démarrer et exécutez perfmon /res en tantqu' Administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot depasse Pa$$w0rd. Il s'agit là d'une autre manière d'ouvrir le Moniteur deressources, que vous avez déjà ouvert à partir du Gestionnaire des tâches, et

c'est la page d'accueil de la console Moniteur de fiabilité et de performances.Fermez le Moniteur de ressources.

Résultats : Au terme de cet exercice, vous aurez exploité le Gestionnaire des tâches etle Moniteur de ressources pour surveiller en temps réel les performances desprocessus, des services et des composants d'un système, notamment le disque, lamémoire, le réseau et le processeur.




Exercice 2 : Identification des événements de performancesavec le Moniteur de fiabilité et l'Observateur d'événementsDans cet exercice, vous allez utiliser le Moniteur de fiabilité pour examiner les

événements relatifs à la stabilité. Vous utiliserez ensuite l'Observateurd'événements pour identifier les événements liés aux performances et à la fiabilitéet vous apprendrez à exploiter les vues personnalisées.


1. Surveiller les événements liés à la stabilité avec le Moniteur de fiabilité.

2. Identifier les événements liés aux rôles avec le Gestionnaire de serveur.

3. Analyser des journaux d'événements.

4. Créer une vue personnalisée.

5. Exporter une vue personnalisée.

6. Importer une vue personnalisée.

Tâche 1 : Surveillance des événements liés à la stabilité avec le

Moniteur de fiabilité

1. Exécutez le Gestionnaire de serveur en tant qu'administrateur, avec le nomd'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Utilisez le Moniteur de fiabilité pour examiner les événements liés à la stabilitésurvenus le 9 septembre 2009.

Tâche 2 : Identification des événements liés aux rôles avec le

Gestionnaire de serveur

1. Dans la section Résumé des rôles du nœud racine du Gestionnaire de serveur,examinez les icônes qui s'affichent à côté des rôles ADDS et Serveur DNS.

2. Cliquez sur le lien du rôle ADDS dans la section Résumé des rôles etexaminez les informations de la section Événements.

3. Cliquez sur le lien Filtrer les événements dans la section Événements etsupprimez les événements Informations de la vue.

4. Double-cliquez sur un événement pour afficher ses détails, examinezl'événement, puis fermez-le.

5. Remarquez les informations affichées dans la section Services système.




Tâche 3 : Examen des journaux d'événements

1. Dans la section Résumé des événements d'administration de la racine ducomposant logiciel enfichable Observateur d'événements du Gestionnaire deserveur, développez le résumé des événements Erreur. Double-cliquez sur uneligne de résumé présentant la source ActiveDirectory .

2. Si le résumé ne contient pas de ligne associée à la source ActiveDirectory ,double-cliquez sur une autre ligne du résumé des événements Erreur.

La vue des événements de la page Résumé s'ouvre dans le volet d'informations.Cette vue permet d'explorer les événements synthétisés dans la ligne durésumé des événements Erreur.

Examinez les journaux des nœuds Journaux Windows et Journaux desapplications et des services dans l'arborescence de la console.

Examinez les événements de la vue Événements d'administration. Cliquez dubouton droit sur Événements d'administration et choisissez Propriétés. Notezque la Description indique que la vue présente les événements Critique, Erreuret Avertissement de tous les journaux d'administration. Cliquez sur le boutonModifier le filtre et remarquez que cette vue personnalisée ne peut pas êtremodifiée. Elle est en Lecture seule. Remarquez également qu'il est difficile desavoir avec précision quels journaux sont inclus dans la liste Journaux d'événements. Les informations sont tronquées. Ouvrez l'onglet XML. Pouvez-vous identifier les journaux inclus grâce aux informations de l'onglet XML ?Dans chaque élément XML Select, à quoi pensez-vous que Level fasseréférence ? Cliquez à deux reprises sur Annuler pour fermer les boîtes dedialogue ouvertes.

Tâche 4 : Création d'une vue personnalisée

• Dans le dossier Vues personnalisées, créez une vue personnalisée qui afficheles messages Critique, Avertissement et Erreur des journaux suivants :Réplication DFS, Service d'annuaire et Serveur DNS. Nommez le journalCustom Directory Service Event View .

Tâche 5 : Exportation d'une vue personnalisée

• Exportez la vue Custom Directory Service Event View sous le nom de fichierD:\Data\DSEventView.xml.




Tâche 6 : Importation d'une vue personnalisée

1. Dans HQDC02, importez la vue personnalisée\\HQDC01\Data\DSEventView.xml et nommez-la Custom Directory

Service Event View .2. Le message Erreur de requête s'affiche car l'ordinateur HQDC02 n'est pas un

serveur DNS et n'a donc pas de journal Serveur DNS. Cliquez sur OK .

Résultats : Au terme de cet exercice, vous aurez identifié plusieurs emplacements duGestionnaire de serveur dans lesquels sont affichés les événements liés aux rôles et auxperformances des serveurs. Vous aurez également créé une vue personnalisée etl'aurez importée dans l'Observateur d'événements d'un autre ordinateur.




Exercice 3 : Surveillance des événements des ordinateursdistants via les abonnements aux événementsDans cet exercice, vous allez utiliser la nouvelle fonctionnalité de transfert

d'événement et d'abonnement de Windows Server 2008 pour capturer lesévénements issus de systèmes distants pour la surveillance centralisée.


1. Configurer les ordinateurs pour le transfert et la collecte des événements.

2. Créer un abonnement pour la collecte des événements.

3. Générer des événements.

4. Afficher des événements transmis.

Tâche 1 : Configuration des ordinateurs pour le transfert et la collectedes événements

1. Dans HQDC01, exécutez l'invite de commande en tant qu'administrateur, avecle nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez wecutil qc, appuyez sur Entrée, puis sur Y et de nouveau sur Entrée pourconfigurer la collecte des événements.

2. Dans HQDC02, exécutez l'invite de commande en tant qu'administrateur, avecle nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez winrm quickconfig, appuyez sur Entrée, puis sur Y, et de nouveau sur Entréepour configurer la Gestion à distance de Windows.

Tâche 2 : Création d'un abonnement pour la collecte des événements

1. Dans le composant logiciel enfichable Observateur d'événements duGestionnaire de serveur de l'ordinateur HQDC01, créez un nouvelabonnement nommé DC Services qui collecte les événements de l'ordinateurHQDC02. Configurez l'abonnement pour qu'il collecte les événements du journal Système associé à l'ID d'événement 7036. L'abonnement doit utiliser lecompte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Ildoit être configuré sur Minimiser la latence. Si des messages de l'Observateur

d'événements s'affichent à la fin de la configuration, cliquez sur Oui.2. Vérifiez que, dans le dossier Abonnements, l'état du nouvel abonnement DC

Services indique Actif .




Tâche 3 : Génération d'événements

• Dans HQDC02, tapez net stop dfsr à l'invite de commande, appuyez surEntrée, tapez ensuite net start dfsr et appuyez de nouveau sur Entrée.

Tâche 4 : Affichage des événements transmis

1. Basculez vers HQDC01.

2. Dans l'arborescence de la console du Gestionnaire de serveur, sousObservateur d'événements\Journaux Windows, cliquez sur Événementstransmis.

L'affichage des événements transmis peut prendre plusieurs minutes. Si lesévénements ne s'affichent pas immédiatement, patientez quelques minutes,démarrez et arrêtez le service Réplication du système de fichiers distribués

(DFS) sur l'ordinateur HQDC02 et patientez encore quelques minutes.

Résultats : Au terme de cet exercice, vous aurez configuré des abonnements pourafficher les événements provenant de l'ordinateur HQDC02 dans l'ordinateur HQDC01.




Exercice 4 : Association de tâches aux journauxd'événements et aux événementsDans cet exercice, vous allez invoquer des tâches lorsqu'un journal d'événements

est mis à jour ou lorsqu'un événement est généré.Les tâches principales de cet exercice sont les suivantes :

1. Associer une tâche à un journal d'événements et à un événement.

2. Préparer l'affichage des messages liés aux tâches de l'Observateurd'événements.

3. Vérifier le bon fonctionnement des tâches de l'Observateur d'événements.

Tâche 1 : Association d'une tâche à un journal d'événements et à un

événement1. Dans HQDC01, cliquez du bouton droit sur le journal d'événements

Événements transmis et associez une tâche à ce journal. La tâche doit afficherun message portant le titre Forwarded Event Received (Événements transmisreçus) et le message A forwarded event was received (Un événementtransmis a été reçu).

2. Dans le journal d'événements Événements transmis, cliquez du bouton droitsur l'un des événements 7036 et associez-lui une tâche. La tâche doit afficherun message portant le titre DC Service Event (Événement du Service DC) et lemessage A service was started or stopped (Un service a été démarré ou

arrêté).

Tâche 2 : Préparation de l'affichage des messages liés aux tâches de

l'Observateur d'événements

Lorsque vous choisissez d'afficher un message dans une tâche, comme lesmessages s'affichent sur le Bureau de l'utilisateur dont le compte a servi à créer latâche de l'Observateur d'événements (Pat.Coleman_Admin), vous devez ouvrir unesession de façon interactive avec le compte Pat.Coleman_Admin pour tirerpleinement parti de cette simulation.

• Fermez la session ouverte sur l'ordinateur HQDC01 et ouvrez une session avecle nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.




Tâche 3 : Vérification du bon fonctionnement des tâches de

l'Observateur d'événements

1. Dans HQDC02, tapez net stop dfsr à l'invite de commande, appuyez surEntrée, tapez ensuite net start dfsr et appuyez de nouveau sur Entrée.

2. Dans HQDC01, attendez que les messages liés aux tâches de l'Observateurd'événements s'affichent.

Résultats : Au terme de cet exercice, vous aurez configuré des tâches devant démarrerlors de la réception d'un événement dans le journal Événements transmis et lors dudémarrage ou de l'arrêt d'un service sur un ordinateur distant.




Exercice 5 : Surveillance des services AD DS à l'aide del'Analyseur de performancesDans cet exercice, vous allez utiliser l'Analyseur de performances pour surveiller

les performances en temps réel d'AD DS, enregistrer les compteurs deperformances et afficher le journal des compteurs de performances enregistrés.


1. Configurer l'Analyseur de performances pour surveiller les services AD DS.

2. Créer un Ensemble de collecteurs de données à partir des compteurs del'Analyseur de performances.

3. Démarrer un Ensemble de collecteurs de données.

4. Afficher un rapport d'un Ensemble de collecteurs de données.

Tâche 1 : Configuration de l'Analyseur de performances pour surveiller

les services AD DS

1. Dans le Gestionnaire de serveur de l'ordinateur HQDC02, ouvrez lecomposant logiciel enfichable Analyseur de performances.

2. Ajoutez les compteurs de performances suivants :

• Services d'annuaire\Nb total d'octets DRA entrants/seconde

• Services d'annuaire\Nb total d'octets DRA sortants/seconde

• Services d'annuaire\Nb de threads Active Directory utilisées

• Services d'annuaire\Lectures Active Directory/sec

• Services d'annuaire\Écritures Active Directory/sec

• Services d'annuaire\Recherches Active Directory/sec

• Statistiques de sécurité au niveau du système\AuthentificationsKerberos

• DNS\Requêtes UDP reçues/seconde




3. Examinez les performances pendant un moment. Ensuite, dans la liste descompteurs situés sous le graphique, sélectionnez Requêtes UDPreçues/seconde. Cliquez sur le bouton Surbrillance de la barre d'outils pourmettre ce compteur en évidence dans le graphique. Cliquez de nouveau sur le

bouton Surbrillance de la barre d'outils pour désactiver la mise en évidence.4. Prenez le temps d'explorer les fonctionnalités de l'Analyseur de performances.

Toutefois, n'ajoutez pas et ne supprimez pas de compteurs.

Tâche 2 : Création d'un Ensemble de collecteurs de données à partir

des compteurs de l'Analyseur de performances

• Créez un nouvel ensemble de collecteurs de données à partir de la vue actuellede l'Analyseur de performances. Nommez cet ensemble Custom ADDSPerformance Counters (Compteurs de performances AD DS personnalisés).

Prenez note du répertoire racine par défaut dans lequel l'ensemble decollecteurs de données sera enregistré.

Tâche 3 : Démarrage d'un Ensemble de collecteurs de données

1. Cliquez sur le nœud Ensembles de collecteurs de données\Définis parl'utilisateur, cliquez du bouton droit sur Custom ADDS PerformanceCounters et choisissez Démarrer.

2. Le nœud Custom ADDS Performance Counters est automatiquementsélectionné. Vous pouvez identifier les différents collecteurs de données

individuels de l'ensemble de collecteurs de données. Dans ce cas, un seulcollecteur de données (les compteurs de performances Journal de Moniteursystème) s'affiche dans l'ensemble de collecteurs de données. Vous pouvezégalement voir où le résultat du collecteur de données est enregistré.

3. Dans l'arborescence de la console, cliquez du bouton droit sur l'ensemble decollecteurs de données Custom ADDS Performance Counters et choisissez Arrêter.




Tâche 4 : Affichage d'un rapport d'un Ensemble de collecteurs de

données

• Dans l'arborescence de la console, développez Custom ADDS Performance

Counters, puis cliquez sur System Monitor Log.blg. Le graphique descompteurs de performances du journal s'affiche.

Résultats : Au terme de cet exercice, vous aurez créé un Ensemble de collecteurs dedonnées, autorisé son exécution et affiché ses données.




Exercice 6 : Utilisation des Ensembles de collecteurs dedonnéesDans cet exercice, vous allez examiner et exécuter un ensemble de collecteurs de

données prédéfini lors de l'ajout du rôle AD DS à un serveur. Vous allez ensuite créerun ensemble de collecteurs de données personnalisé, configurer son planning et sesstratégies de gestion des données, l'exécuter et en examiner le contenu.


1. Analyser un ensemble de collecteurs de données prédéfini.

2. Créer un ensemble de collecteurs de données.

3. Configurer des conditions de démarrage d'un ensemble de collecteurs dedonnées.

4. Configurer des conditions d'arrêt d'un ensemble de collecteurs de données.

5. Configurer la gestion des données d'un collecteur.

6. Afficher les résultats de la collecte des données.

Tâche 1 : Examen d'un ensemble de collecteurs de données prédéfini

1. Sélectionnez l'ensemble de collecteurs de données Diagnostic ActiveDirectory sous Fiabilité et performances\Ensembles de collecteurs dedonnées\Système. Notez les collecteurs de données faisant partie del'Ensemble de collecteurs de données.

2. Démarrez l'ensemble de collecteurs de données.3. Développez successivement Rapports, Système et Diagnostic Active Directory ,

puis cliquez sur le rapport. L'État du rapport indique que les données sontcollectées pendant 300 secondes (cinq minutes). Attendez cinq minutes, ou aumoins une, puis cliquez du bouton droit sur Diagnostic Active Directory sousEnsembles de collecteurs de données\Système et choisissez Arrêter.

4. Prenez le temps d'examiner les différentes sections du rapport. Cliquez dubouton droit sur le rapport et, à l'aide du menu Affichage, examinez les vues Analyseur de performances, Rapport et Dossier.

5. Dans le volet d'informations de la vue Dossier, double-cliquez sur Compteurde performances. Une nouvelle instance de WRPM s'ouvre pour afficher le journal. Il est possible que la nouvelle instance soit réduite, auquel cas vouspouvez la ramener au premier plan en cliquant sur son bouton dans la barredes tâches. Examinez la fenêtre, puis fermez WPRM.




6. Dans l'arborescence de la console du Gestionnaire de serveur, sélectionnez lenœud Analyseur de performances. Cliquez sur le bouton Afficher lesdonnées du journal et configurez la source de l'Analyseur de performancessur C:\PerfLogs\ADDS\rapport \Compteur de performances, où rapport

correspond au nom du rapport que vous venez de générer.Notez qu'aucun compteur ne s'affiche immédiatement. Cliquez sur le bouton Ajouter un compteur et ajoutez les compteurs d'objets des services d'annuairesuivants à l'affichage : Lectures Active Directory/sec, Recherches ActiveDirectory/sec et Écritures Active Directory/sec.

Tâche 2 : Création d'un ensemble de collecteurs de données

1. Dans l'arborescence de la console du Gestionnaire de serveur, sélectionnez lenœud Défini par l'utilisateur situé sous Ensembles de collecteurs dedonnées.

2. Créez un nouvel ensemble de collecteurs de données nommé Custom ADDSDiagnostics en utilisant l'ensemble de collecteurs de données Diagnostic Active Directory comme modèle. Enregistrez le nouvel ensemble decollecteurs de données dans le dossier C:\ADDS Data Collector Sets.Exécutez cet ensemble avec le nom d'utilisateurCONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Dans un environnement de production, le compte que vous utilisez doit êtreun compte de domaine unique. Il doit être membre du groupe Utilisateurs du journal de performances et doit être autorisé à ouvrir une session en tant quetâche. Le groupe Utilisateurs du journal de performances disposant par défautde cette autorisation, il vous suffit de créer un compte de domaine et d'en faireun membre de ce groupe.

Tâche 3 : Configuration des conditions de démarrage d'un ensemble

de collecteurs de données

• Configurez le planning du nouvel ensemble de collecteurs de données pourqu'il commence le jour même et arrive à expiration dans une semaine.Configurez l'heure de début pour qu'elle commence dans cinq minutes. Preneznote de l'heure de début que vous configurez. Lorsque vous êtes invité à saisir

les informations d'identification à associer à l'exécution de la tâche planifiée,utilisez le compte CONTOSO\Pat.Coleman_Admin et le mot de passePa$$w0rd.




Tâche 4 : Configuration des conditions d'arrêt d'un ensemble de

collecteurs de données

• Configurez la Condition d'arrêt de la tâche sur une durée globale de deuxminutes. Dans un environnement de production, vous exécuteriezprobablement le collecteur de données pendant plus longtemps. Sélectionnezl'option Arrêter lorsque tous les collecteurs de données ont terminé.

Tâche 5 : Configuration de la gestion des données d'un collecteur

• Configurez la stratégie des ressources du gestionnaire de données de sortequ'il supprime les éléments les plus anciens et qu'il copie tous les jours lesfichiers .cab dans \\hqdc01\ADDS_Diag_Reports. Vérifiez que les optionsCréer un fichier cab et Supprimer les fichiers de données sont sélectionnées.Lorsque vous êtes invité à saisir les informations d'identification à associer à

l'exécution de la tâche planifiée, utilisez le compteCONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Tâche 6 : Affichage des résultats de la collecte des données

1. Attendez que l'heure que vous avez configurée pour démarrer l'ensemble decollecteurs de données soit passée. Sélectionnez le rapport situé sousRapports\Défini par l'utilisateur\Custom ADDS Diagnostics et notez quel'État du rapport indique que les données sont collectées pendant 120secondes (deux minutes). Lorsque la collecte des données est terminée, l'État du rapport indique que la génération du rapport est en cours.

Prenez le temps d'examiner le rapport.

2. Cliquez du bouton droit sur le rapport dans l'arborescence de la console,pointez sur Affichage et choisissez Dossier. Dans le volet d'informations,double-cliquez sur Compteur de performances.

Une nouvelle instance du Moniteur de fiabilité et de performances s'ouvre,l'Analyseur de performances affichant les données enregistrées dans le journalCompteur de performances. Prenez le temps d'examiner le graphique desperformances, puis fermez la fenêtre.

Résultats : Au terme de cet exercice, vous aurez examiné un ensemble de collecteursde données prédéfini, créé un ensemble de collecteurs de données personnalisé,exécuté cet ensemble selon le planning et affiché ses résultats.




Remarque : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car lesparamètres que vous avez configurés ici seront utilisés dans les ateliers suivants de cemodule.


Question : Dans quelles situations utilisez-vous actuellement, ou envisagez-vousd'utiliser, les abonnements aux événements comme outil de surveillance ?

Question : À quels événements ou compteurs de performances envisagez-vousd'associer des actions ou des notifications électroniques ? Utilisez-vousactuellement des notifications ou des actions dans le cadre de la surveillance devotre environnement ?




Leçon 2

Gestion de la base de données Active Directory

Au Module 1, vous avez appris qu'en définitive Active Directory était une base dedonnées prise en charge par un certain nombre de services. La gestion de la base

de données Active Directory est quasiment automatique. Toutefois, la maintenancede ses fichiers eux-mêmes est parfois nécessaire. Dans cette leçon, vous allezapprendre à effectuer la maintenance de la base de données Active Directory etaussi à récupérer un objet supprimé accidentellement.


• décrire les composants et les fonctionnalités des fichiers de la base de données Active Directory ;

• utiliser NTDSUtil pour exécuter des tâches de maintenance de la base de

données Active Directory, notamment la défragmentation hors connexion ;

• créer et monter des instantanés d'Active Directory ;

• récupérer un utilisateur supprimé.




Fichiers de la base de données Active Directory

Points clésLa base de données Active Directory est stockée dans un fichier nommé NTDS.ditdont vous pouvez définir l'emplacement lors de l'installation et de la configuration

d'AD DS. L'emplacement par défaut est %SystemRoot%\NTDS. Le fichierNTDS.dit contient toutes les partitions hébergées par le contrôleur de domaine : leschéma et la configuration de la forêt, le contexte de noms de domaine et (selon laconfiguration du serveur) le jeu d'attributs partiel et les partitions de l'annuaired'applications.

Le dossier NTDS contient d'autres fichiers qui prennent en charge la base dedonnées Active Directory. Le fichier Edb.log est le journal des transactions d'ActiveDirectory. Lorsque l'annuaire doit être modifié, la modification est d'abord écritedans ce fichier journal. Cette modification est ensuite validée dans l'annuaire entant que transaction. Si la transaction échoue, la modification peut être annulée.




Ce processus est illustré dans la diapositive suivante :

Lorsque le système fonctionne normalement, le journal des transactionsfonctionne de façon circulaire, les nouvelles transactions remplaçant les anciennesdéjà validées. Toutefois, lorsqu'un grand nombre de transactions interviennentpendant une brève période, Active Directory crée des journaux de transactions

supplémentaires. Plusieurs fichiers EDB*.log peuvent donc s'afficher dans ledossier NTDS d'un contrôleur de domaine particulièrement sollicité. Avec letemps, ces fichiers sont automatiquement supprimés.

Le fichier EDB.chk joue le rôle de signet dans les journaux, en marquant le pointavant lequel les transactions ont bien été validées dans la base de données et aprèslequel les transactions doivent encore l'être.




Le fait que l'espace disque devienne insuffisant sur un lecteur est trèsproblématique pour le serveur. Ce problème est encore plus important lorsque cedisque héberge la base de données Active Directory car les éventuelles transactionsen cours ne peuvent pas être inscrites dans les journaux. Par conséquent, Active

Directory gère deux fichiers journaux supplémentaires, edbres0001.jrs etedbres0002.jrs. Ces fichiers sont vides et font 10 Mo chacun. Lorsque l'espace d'undisque devient insuffisant pour les journaux de transactions normaux, ActiveDirectory récupère l'espace occupé par ces deux fichiers pour poursuivre l'écrituredes transactions. Bien évidemment, il est très important que l'administrateurrésolve aussi vite que possible le problème d'espace disque. Le fichier fournitsimplement une solution temporaire pour éviter que le service d'annuaire ne refuseles nouvelles transactions.

Lectures complémentaires• Fonctionnement du magasin de données (éventuellement en anglais)





NTDSUtil

Points clésDans les modules précédents, vous avez utilisé la commande NTDSUtil pourexécuter des actions sur le service d'annuaire. Au Module 11, la commande a été

utilisée pour capter des rôles de maître d'opérations. Dans ce module, vous allezutiliser la commande pour effectuer la maintenance de la base de données,notamment pour créer des instantanés, effectuer une défragmentation horsconnexion et relocaliser les fichiers de la base de données.

La commande NTDSUtil permet également de nettoyer les métadonnées d'uncontrôleur de domaine. Lorsqu'un contrôleur de domaine est rétrogradé (retiré dudomaine) alors qu'il est hors connexion, il ne peut pas supprimer d'importantesinformations dans le service d'annuaire. Vous pouvez dans ce cas utiliser lacommande NTDSUtil pour nettoyer les restes du contrôleur de domaine, et cetteopération est extrêmement importante.

Enfin, la commande NTDSUtil peut réinitialiser le mot de passe utilisé pour ouvrirune session de Restauration des services d'annuaire (DSRM). Ce mot de passe estinitialement défini pendant la configuration d'un contrôleur de domaine. Si vousoubliez ce mot de passe, la commande ntds set dsrm permet de le réinitialiser.




Lectures complémentaires• Outils et paramètres du magasin de données (éventuellement en anglais)


• Suppression de données dans Active Directory après l'échec de larétrogradation d'un contrôleur de domainehttp://go.microsoft.com/fwlink/?LinkId=168459




Maintenance de la base de données

Points clésLa gestion de la base de données Active Directory est quasiment automatique. Pardéfaut, toutes les 12 heures, chaque contrôleur de domaine exécute un processus

appelé nettoyage de la mémoire. Ce nettoyage de la mémoire effectue deuxopérations. D'abord, il efface les objets supprimés dont la durée de vie estdépassée. Lorsqu'un objet est supprimé, il est placé dans le conteneur Objetssupprimés et débarrassé de la quasi-totalité de ses attributs. L'objet demeure dansle service d'annuaire pour la période définie par sa durée de vie de désactivation,par défaut 180 jours sous Windows Server 2008. L'entreprise peut ainsi réactiverou restaurer l'objet à l'aide des procédures que vous allez découvrir dans la suite decette leçon. Dès que la durée de vie est écoulée, le nettoyage de la mémoire définitla ligne de l'objet sur zéro dans la base de données.

Lorsque des objets sont supprimés, les lignes définies sur zéro créent un type defragmentation susceptible d'affecter les performances. Le processus de nettoyage de lamémoire réorganise les lignes de la base de données pour placer les lignes vides defaçon contiguë, une opération très proche de la réorganisation des secteurs d'un disquelors d'une défragmentation. Ce processus, appelé défragmentation en ligne, ne réduitpas la taille des fichiers de la base de données, mais optimise l'ordre interne de celle-ci.




Dans la plupart des environnements, cette opération est suffisante. Toutefois, ilpeut être nécessaire de réduire la taille du fichier NTDS.dit dans les organisationsqui suppriment un grand nombre d'objets de l'annuaire. Pour ce faire, vous devezexécuter une défragmentation hors connexion avec la commande NTDSUtil. Les

procédures requises sont traitées dans la suite de cette leçon.Dans les versions précédentes de Windows, les contrôleurs de domaine plaçaientun verrou sur la base de données Active Directory. Pour effectuer la maintenancede la base de données, vous devez redémarrer le serveur dans la Restauration desservices d'annuaire. Sous Windows Server 2008, l'architecture d'AD DS a étéconçue sous forme de service et, comme n'importe quel autre service, peut êtrearrêté ou démarré à la demande depuis le composant logiciel enfichable Services. À présent, pour effectuer une défragmentation hors connexion, il vous suffit d'arrêterle service AD DS, d'effectuer la maintenance, puis de redémarrer le service.




Démonstration : Maintenance de la base de données AD DS

Points clésDans cette démonstration, votre instructeur va vous montrer comment arrêter etdémarrer le service AD DS et vous apprendre à compresser la base de données et à

déplacer ses fichiers vers un autre volume.

Ces procédures sont disponibles dans le Corrigé de l'atelier pratique de ce module. Vous aurez la possibilité de mettre la plupart de ces procédures en pratique aucours de l'atelier.

Étapes de la démonstrationPour arrêter le service AD DS :

• Ouvrez la console Services, cliquez du bouton droit sur Services de domaine Active Directory et choisissez Arrêter dans le menu contextuel.




Pour effectuer une défragmentation hors connexion de la base de données ActiveDirectory pendant que les Services AD DS sont à l'état arrêté :

1. Dans la fenêtre de commande, tapez ntdsutil et appuyez sur Entrée.

2.

À l'invite de commande ntdsutil, tapez Activate Instance NTDS et appuyez surEntrée.

3. À l'invite de commande ntdsutil:, tapez files et appuyez sur Entrée.

4. À l'invite file maintenance:, tapez compact to drive:\ LocalDirectoryPath (oùdrive:\ LocalDirectoryPath correspond au chemin d'accès d'un l'emplacementdans l'ordinateur local). Après un court instant, appuyez sur CTRL+C pourinterrompre le processus. Ce processus peut durer un certain temps.

5. Lorsque le processus se termine de lui-même, vous devez copier le fichierNTDS.dit dans un emplacement de sauvegarde, de même que les journaux(*.log), puis supprimer ces derniers (*.log).

6. Pour finir, il est recommandé de vérifier l'intégrité de la base de données quivient d'être compactée. Pour ce faire, tapez "integrity ". Ce processus, comme lacompression, prend un certain temps. Appuyez sur CTRL+C à tout momentpour interrompre le processus et passer à la suite de la démonstration.

Pour déplacer la base de données AD DS :

1. Dans la fenêtre de l'invite de commande file maintenance, tapez move db topathname. Comme précédemment, nous n'allons pas attendre la fin de ceprocessus.

2.

Appuyez sur CTRL+C pour interrompre le processus.Sachez que, si nous avions attendu que le processus aille à son terme, le fichierNTDS.dit aurait été déplacé vers le nouvel emplacement et les autorisationsauraient été définies en conséquence.

Enfin, redémarrez AD DS :

• Dans la console MMC des services, cliquez du bouton droit sur Services dedomaine Active Directory et choisissez Démarrer.

Bravo, vous avez terminé !




Question : Pourquoi est-il nécessaire d'arrêter les services AD DS avant ladéfragmentation ?

Question : Pourquoi est-il nécessaire de commencer par compacter la base dedonnées dans un répertoire temporaire ?

Lectures complémentaires• Compactage du fichier de base de données d'annuaire (défragmentation hors

connexion)http://go.microsoft.com/fwlink/?LinkId=101083




Instantanés d'Active Directory

Points clésLa commande NTDSUtil de Windows Server 2008 permet de créer et de monterdes instantanés d'Active Directory. Un instantané est une forme de sauvegarde de

l'historique ; elle capture l'état exact du service d'annuaire au moment del'instantané Contrairement à une sauvegarde, un instantané ne peut pas servir àrestaurer des données. Vous pouvez cependant employer des outils pour explorerle contenu de l'instantané et examiner l'état du service d'annuaire tel qu'il était aumoment de la création de l'instantané.

Pour créer un instantané :

1. Ouvrez une invite de commande élevée.

2. Tapez ntdsutil et appuyez sur Entrée.

3. Tapez snapshot , puis appuyez sur Entrée.

4. Tapez activate instance ntds et appuyez sur Entrée.




5. Tapez create et appuyez sur Entrée.

La commande renvoie un message qui indique que l'ensemble d'instantanés abien été généré.

L'identificateur global unique (GUID) qui s'affiche est important pour lescommandes des tâches ultérieures. Notez le GUID ou copiez-le dans le Presse-papiers.

6. Tapez quit , puis appuyez sur Entrée.

Il est recommandé de planifier des instantanés réguliers d'Active Directory. Vouspouvez utiliser le Planificateur de tâches pour exécuter un fichier de commandesavec les commandes NTDSUtil appropriées.

Pour afficher le contenu d'un instantané, vous devez monter ce dernier en tant quenouvelle instance d'AD DS. Cette opération est effectuée via NTDSUtil.

Pour monter un instantané :1. Ouvrez une invite de commande élevée.


3. Tapez activate instance ntds et appuyez sur Entrée.

4. Tapez snapshot , puis appuyez sur Entrée.

5. Tapez list all, puis appuyez sur Entrée.

La commande récupère la liste de tous les instantanés.

6. Tapez mount {GUID}, où GUID correspond à l'identifiant GUID renvoyé par

la commande create snapshot, puis appuyez sur Entrée.7. Tapez quit , puis appuyez sur Entrée.


9. Tapez dsamain -dbpath c:\$snap_dateheure _volumec$\windows\ntds \ntds.dit -ldapport 50000, puis appuyez sur Entrée.

Le numéro de port, 50000, peut être tout numéro de port TCP ouvert et unique.

Un message indique que le démarrage des services AD DS est terminé.

10. Ne fermez pas la fenêtre d'invite de commandes, laissez s'exécuter la commandeque vous venez de saisir (Dsamain.exe), et passez à l'étape suivante.

Dès que l'instantané a été monté, vous pouvez utiliser des outils pour vous yconnecter et l'explorer. Même la console Utilisateurs et ordinateurs ActiveDirectory permet de se connecter à l'instance.




Pour vous connecter à un instantané avec Utilisateurs et ordinateurs Active Directory :

1. Ouvrez Utilisateurs et ordinateurs Active Directory .

2. Cliquez du bouton droit sur le nœud racine et choisissez Modifier le

contrôleur de domaine.La boîte de dialogue Changer de serveur d'annuaire s'affiche.

3. Cliquez sur <Tapez ici un nom de serveur d'annuaire[:port]>.

4. Tapez HQDC01:50000 et appuyez sur Entrée.

HQDC01 est le nom du contrôleur de domaine dans lequel vous avez montél'instantané et 50000, le numéro de port TCP que vous avez configuré pourl'instance et par lequel vous êtes à présent connecté à l'instantané.

5. Cliquez sur OK .

Remarquez que les instantanés sont en lecture seule. Vous ne pouvez pas enmodifier le contenu. Il n'existe pas non plus de méthode directe permettant dedéplacer, de copier ou de restaurer des objets ou des attributs de l'instantané versl'instance de production d'Active Directory.

Pour démonter l'instantané :

1. Revenez à l'invite de commande dans laquelle l'instantané a été monté.

2. Appuyez sur CTRL+C pour arrêter DSAMain.exe.


4. Tapez activate instance ntds et appuyez sur Entrée.5. Tapez snapshot , puis appuyez sur Entrée.

6. Tapez unmount GUID , où GUID correspond à l'identifiant GUID del'instantané, puis appuyez sur Entrée.


8. Tapez quit et appuyez sur Entrée.


• Guide pas à pas sur les outils de montage de la base de données AD DS(Snapshot Viewer ou Snapshot Browser)http://go.microsoft.com/fwlink/?LinkId=168460




Restauration des objets supprimés

Points clésComme nous l'avons déjà mentionné, lorsqu'un objet est supprimé, il est placédans le conteneur Objets supprimés et débarrassé de la quasi-totalité de ses

attributs. En fait, les seuls attributs qui restent sont SID, objectGUID,lastKnownParent et sAMAccountName de l'objet.

Tant que le niveau fonctionnel du domaine est Windows Server 2003 ou un niveausupérieur, et tant que l'objet n'a pas été nettoyé par le processus de nettoyage de lamémoire après avoir atteint la fin de sa durée de vie, vous pouvez restaurer ouréactiver l'objet supprimé.

Pour restaurer un objet supprimé :

1. Cliquez sur le bouton Démarrer, tapez LDP.exe dans le champ Rechercher,puis appuyez sur Ctrl+Maj+Entrée pour exécuter la commande en tantqu'administrateur.

La boîte de dialogue Contrôle de compte d'utilisateur s'affiche.


3. Dans le champ Nom d'utilisateur, tapez celui d'un administrateur.




4. Dans Mot de passe, tapez celui du compte d'administration, puis appuyez surEntrée.

LDP s'affiche.

5. Dans le menu Connexion, cliquez sur Connexion, puis sur OK .

6. Dans le menu Connexion, cliquez sur Lier, puis sur OK .

7. Dans le menu Options, cliquez sur Contrôles.

8. Dans la liste Chargement prédéfini, cliquez sur Renvoyer les objetssupprimés, puis sur OK .

9. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK .

10. Développez le domaine, puis double-cliquez sur CN=DeletedObjects,DC=contoso,DC=com.

11. Cliquez du bouton droit sur l'objet supprimé et choisissez Modifier.

12. Dans la zone Attribut , tapez isDeleted.13. Dans la section Opération, cliquez sur Supprimer.

14. Appuyez sur Entrée.

15. Dans la zone Attribut , tapez distinguishedName.

16. Dans le champ Valeurs, entrez le nom unique de l'objet dans l'unitéd'organisation ou le conteneur parent dans lequel l'objet doit être restauré. Parexemple, tapez le nom unique de l'objet tel qu'il était avant d'être supprimé.

17. Dans la section Opération, cliquez sur Remplacer.


19. Cochez la case Étendu.20. Cliquez sur le bouton Exécuter.

21. Cliquez sur le bouton Fermer.

22. Fermez LDP.

23. Servez-vous d'Utilisateurs et ordinateurs Active Directory pour renseigner ànouveau les attributs de l'objet, réinitialiser le mot de passe (pour un objetutilisateur) et activer l'objet (s'il est désactivé).

Lectures complémentaires• Scénario complet d'utilisation de l'outil de montage de la base de données

Active Directoryhttp://go.microsoft.com/fwlink/?LinkId=168462




Démonstration : Utilisation d'instantanés et réanimationd'objets

Points clésDans cette démonstration, votre instructeur va créer un instantané, supprimer unobjet (un utilisateur peut-être), monter l'instantané avec NTDSutil et utiliser LDPou ADSIedit pour afficher l'objet supprimé dans l'instantané.

Vous aurez bientôt la possibilité de revoir et de mettre en pratique des procéduressimilaires au cours de l'atelier de cette leçon.

Pour la procédure propre à cette démonstration, référez-vous aux deux rubriquesprécédentes, Instantanés d'Active Directory et Restauration des objetssupprimés. Elles contiennent les procédures qui permettent de créer uninstantané, de le monter, de s'y connecter avec Utilisateurs et ordinateurs ActiveDirectory, de le démonter et de restaurer un objet supprimé.




Question : Dans quels cas s'avère-t-il utile de monter plusieurs instantanéssimultanément ?

Question : Pourquoi est-il nécessaire de spécifier différents ports LDAP, SSL et decatalogue global pour chaque instance montée de la base de données ?

Lectures complémentaires• Scénario complet d'utilisation de l'outil de montage de la base de données

Active Directory :http://go.microsoft.com/fwlink/?LinkId=168818




Atelier pratique B : Gestion de la base dedonnées Active Directory

Scénario

Vous êtes l'administrateur de Contoso, Ltd., une université en ligne. À la fin dusemestre, il y 65 jours, vous avez supprimé les 835 comptes d'utilisateur desétudiants qui ont obtenu leur diplôme ou qui ne poursuive pas leur cursus. Vousvoulez à présent compacter votre base de données Active Directory pour récupérerl'espace libéré par les nombreux objets supprimés. Vous avez également appris quele compte d'Adriana Giorgi a été supprimé la veille par accident. Vous souhaitezrécupérer ce compte par l'intermédiaire d'un instantané dont vous avez planifiél'exécution à 01 h 00 chaque nuit.




Exercice 1 : Maintenance de la base de donnéesDans cet exercice, vous allez effectuer la maintenance de la base de données ActiveDirectory. Pour ce faire, vous devrez arrêter le service AD DS et le redémarrerlorsque la maintenance sera terminée.



2. Préparer le compactage de la base de données Active Directory.

3. Arrêter le service AD DS.

4. Compacter la base de données Active Directory.

5. Substituer la base de données Active Directory par la copie compactée.

6. Vérifier l'intégrité de la base de données compactée.

7. Démarrer le service AD DS.


Les ordinateurs virtuels ont déjà dû être démarrés lors de l'Atelier pratique A.Toutefois, s'ils ont été arrêtés, procédez comme suit :

1. Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateurPat.Coleman et le mot de passe Pa$$w0rd.

2. Démarrez 6238B-HQDC02-B sans ouvrir de session.

Tâche 2 : Préparation du compactage de la base de données Active

Directory

1. Exécutez une invite de commande en tant qu'administrateur, avec le nomd'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. À l'invite de commande, créez deux dossiers : D:\NTDSCompact etD:\NTDSOriginal.

Tâche 3 : Arrêt du service AD DS

1. Exécutez la console Services en tant qu'administrateur avec le nomd'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Arrêtez le service AD DS.




Tâche 4 : Compactage de la base de données Active Directory

• Utilisez NTDSUtil pour activer l'instance NTDS et compacter le fichier de basede données dans D:\NTDSCompact .

Tâche 5 : Substitution de la base de données Active Directory par la

copie compactée

1. Déplacez l'ancienne version de NTDS.dit et tous les fichiers *.log du dossier%SystemRoot%\NTDS vers D:\NTDSOriginal afin de les préserver en casd'échec ou de problème lié au compactage.

2. Copiez le fichier NTDS.dit compacté du dossier D:\NTDSCompact vers%SystemRoot%\NTDS\ntds.dit .

Tâche 6 : Vérification de l'intégrité de la base de données compactée

• Utilisez NTDSUtil pour activer l'instance de NTDS, en vérifier l'intégrité eteffectuer une analyse sémantique de la base de données en mode correction.

Tâche 7 : Démarrage du service AD DS

1. Revenez à la console Services.

2. Démarrez le service AD DS.

3. Fermez la console Services.

Résultats : Au terme de cet exercice, vous aurez arrêté AD DS, compacté la base dedonnées Active Directory, effectué une vérification sémantique et de l'intégrité etredémarré AD DS.




Exercice 2 : Utilisation des instantanés et récupération d'unutilisateur suppriméDans cet exercice, vous allez créer et monter un instantané Active Directory et

utiliser les informations pour renseigner à nouveau les attributs d'un objetutilisateur supprimé.


1. Créer un instantané d'Active Directory.

2. Modifier Active Directory

3. Monter un instantané Active Directory et créer une nouvelle instance.

4. Analyser un instantané dans Utilisateurs et ordinateurs Active Directory.

5. Utiliser LDP pour restaurer un objet supprimé (facultatif).

Tâche 1 : Création d'un instantané d'Active Directory

• À l'invite de commande élevée, tapez les commandes suivantes :

ntdsutil

snapshot

activate instance ntds

create

quit

quit

La commande renvoie un message qui indique que l'ensemble d'instantanés abien été généré. L'identificateur global unique (GUID) qui s'affiche estimportant pour les commandes des tâches ultérieures. Notez le GUID oucopiez-le dans le Presse-papiers.

Tâche 2 : Modification d'Active Directory

1. Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur,avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Supprimez le compte d' Adriana Giorgi de l'unité d'organisation User

Accounts\Employees.




Tâche 3 : Montage d'un instantané Active Directory et création d'une

nouvelle instance

1. À l'invite de commande élevée, tapez les commandes suivantes :

ntdsutil


snapshot

list all

La commande récupère la liste de tous les instantanés.

2. Tapez les commandes suivantes :

mount guid

quit

quit

où guid est l'identifiant GUID de l'instantané que vous avez créé.

3. Démarrez une instance d'Active Directory utilisant l'instantané en tapant lacommande suivante sur une seule ligne.

dsamain -dbpath c:\$snap_dateheure_volumec$\windows\ntds\ntds.dit

-ldapport 50000

Notez que « dateheure » doit être une valeur unique pour vous. Votre lecteur Cne doit comprendre qu'un seul dossier commençant par $snap.

Un message indique que le démarrage des services de domaine Active

Directory est terminé. Laissez Dsamain.exe continuer son exécution. Nefermez pas l'invite de commande.

Tâche 4 : Examen d'un instantané dans Utilisateurs et ordinateurs

Active Directory

1. Revenez à Utilisateurs et ordinateurs Active Directory . Cliquez du boutondroit sur le nœud racine du composant logiciel enfichable et choisissezModifier le contrôleur de domaine. Tapez le nom du serveur d'annuaire et leport HQDC01:50000, puis appuyez sur Entrée. Cliquez sur OK .

2. Localisez l'objet Adriana Giorgi dans l'unité d'organisation User Accounts\Employees. Remarquez que l'objet Adriana Giorgi s'affiche carl'instantané a été créé avant sa suppression.




Tâche 5 (facultatif) : Utilisation de LDP pour restaurer un objet

supprimé

La restauration d'un compte utilisateur supprimé n'est pas directement liée aux

instantanés. Pour réanimer des objets du conteneur Objets supprimés d'ActiveDirectory, utilisez la commande Ldp.exe. Un objet supprimé étant débarrassé de laplupart de ses attributs, un instantané se révèle très utile pour examiner lesattributs de l'objet avant sa suppression.

1. Cliquez sur le bouton Démarrer. Tapez LDP.exe dans le champ Rechercher,puis appuyez sur Ctrl+Maj+Entrée pour exécuter la commande en tantqu'administrateur.

La boîte de dialogue Contrôle de compte d'utilisateur s'affiche.


3. Dans le champNom d'utilisateur

, tapezPat.Coleman_Admin

.4. Dans le champ Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée.

LDP s'affiche.

5. Dans le menu Connexion, cliquez sur Connexion, puis sur OK .

6. Dans le menu Connexion, cliquez sur Lier, puis sur OK .

7. Dans le menu Options, cliquez sur Contrôles.

8. Dans la liste Chargement prédéfini, cliquez sur Renvoyer les objetssupprimés, puis sur OK .

9. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK .10. Dans l'arborescence de la console, développez DC=contoso,DC=com, puis

double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com.

11. Cliquez du bouton droit sur CN=Adriana Giorgi, puis cliquez sur Modifier.

12. Dans la zone Attribut , tapez isDeleted.

13. Dans la section Opération, cliquez sur Supprimer.


15. Dans la zone Attribut , tapez distinguishedName.

16. Dans le champ Valeurs, tapez CN=Adriana Giorgi,OU=Employees,OU=User Accounts,DC=contoso,DC=com.

17. Dans la section Opération, cliquez sur Remplacer.





19. Cochez la case Étendu.

20. Cliquez sur le bouton Exécuter.

21. Cliquez sur le bouton Fermer.22. Fermez LDP.

23. Exécutez Utilisateurs et ordinateurs Active Directory avec des informationsd'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et lemot de passe Pa$$w0rd.

24. Dans l'arborescence de la console, développez le domaine contoso.com, puisl'unité d'organisation User Accounts et cliquez sur l'unité d'organisationEmployees.

25. Remarquez que le compte d'Adriana Giorgi a été restauré. Cependant, tous ses

attributs sont absents, notamment la description et le mot de passe. Du fait del'absence du mot de passe, le compte a été désactivé.

26. Revenez à l'instance d'Utilisateurs et ordinateurs Active Directory dans laquelleles données de l'instantané sont affichées.

27. Notez que vous pouvez utiliser les attributs indiqués dans l'instantané pourrenseigner à nouveau manuellement les attributs dans Active Directory.

28. Fermez les deux instances d'Utilisateurs et ordinateurs Active Directory.

Tâche 6 : Démontage d'un instantané d'Active Directory1. À l'invite de commande, appuyez sur Ctrl+C pour arrêter DSAMain.exe.

2. Tapez les commandes suivantes :

ntdsutil


snapshot

unmount guid quit

quit

où guid est l'identifiant GUID de l'instantané.

Résultats : Au terme de cet exercice, vous aurez créé, monté et examiné un instantanéd'Active Directory et, éventuellement, restauré un compte d'utilisateur supprimé.




Remarque : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car lesparamètres que vous avez configurés ici seront utilisés dans les ateliers suivants de cemodule.


Question : Dans quels autres cas peut-il être utile de monter un instantané d'ActiveDirectory ?

Question : Quels sont les inconvénients de la restauration d'un objet suppriméavec un outil tel que LDP ?




Leçon 3

Sauvegarde et restauration des services AD DSet des contrôleurs de domaine

Même avec les technologies et un plan de surveillance les plus efficaces possibles,la défaillance d'un contrôleur de domaine reste possible, de même que lacorruption d'Active Directory, intentionnelle ou accidentelle. Dans un tel cas, vousdevez être prêt à restaurer le contrôleur de domaine, l'annuaire ou certains objetsde l'annuaire. Dans cette leçon, vous allez apprendre à utiliser la fonctionnalitéSauvegarde de Windows Server et le mode Restauration des services d'annuairepour sauvegarder et restaurer efficacement AD DS et les contrôleurs de domaine.


• sauvegarder un contrôleur de domaine AD DS ;

• planifier des opérations de sauvegarde de contrôleurs de domaine ;

• restaurer AD DS.




Outils de sauvegarde et de restauration

Points clésLa Sauvegarde de Windows Server est une nouvelle fonctionnalité puissante de Windows Server 2008 qui permet de sauvegarder et de restaurer un serveur, ses

rôles et ses données. La Sauvegarde de Windows Server est installée sous forme defonctionnalité du Gestionnaire de serveur.

La fonctionnalité Sauvegarde de Windows Server fournit un outil d'administration decomposant logiciel enfichable et la commande WBAdmin (wbadmin.exe). Ces deuxoutils permettent d'effectuer des sauvegardes manuelles ou automatisées dans unvolume de disque externe ou interne, un partage distant ou un support optique. Lasauvegarde sur bande n'est plus prise en charge par la Sauvegarde de Windows Server.

La fonctionnalité Sauvegarde de Windows Server vous permet d'effectuer les typessuivants de sauvegarde :

• Serveur complet

• Volumes sélectionnés

• État du système




Vous ne pouvez pas utiliser la Sauvegarde de Windows Server pour sauvegarderdes fichiers ou des dossiers individuels. Vous pouvez cependant l'utiliser pourrestaurer des fichiers ou des dossiers individuels.

Si vous choisissez d'effectuer la sauvegarde vers un volume de disque local ou

externe, il est recommandé ou obligatoire (selon votre configuration) de dédier cevolume aux sauvegardes. En d'autres termes, n'utilisez pas ce volume pour stockerd'autres types de données.

Notez que l'outil de sauvegarde hérité, NTBackup, n'est plus pris en charge. Enoutre, la fonctionnalité Sauvegarde de Windows Server ne peut pas restaurer lessauvegardes réalisées avec NTBackup. Vous pouvez télécharger une version deNTBackup compatible avec Windows Server 2008 et pris en charge pour restaurerles fichiers de sauvegarde hérités dans Windows Server 2008 et récupérer desdonnées. Toutefois, NTBackup ne doit pas être utilisé pour exécuter les nouvellesopérations de sauvegarde.

Plusieurs nuances et exigences régissent l'utilisation de la Sauvegarde de WindowsServer selon les scénarios et les configurations. Si vous envisagez d'utiliser laSauvegarde de Windows Server comme utilitaire de sauvegarde, veillez à lire lesarticles répertoriés dans la section « Lectures complémentaires » ci-dessous.

Lectures complémentaires• Présentation de la sauvegarde et de la restauration sous Windows Server 2008


• Sauvegarde de Windows Serverhttp://go.microsoft.com/fwlink/?LinkId=168464

• Guide pas à pas de la Sauvegarde de Windows Server pour Windows Server 2008http://go.microsoft.com/fwlink/?LinkId=168465

• Sauvegarde de votre serveurhttp://go.microsoft.com/fwlink/?LinkId=168466




Présentation de la sauvegarde d'AD DS et des contrôleursde domaine

Points clésDans les versions précédentes de Windows, la sauvegarde d'Active Directoryentraînait la création d'une sauvegarde de l'état du système, c'est-à-dire une petitecollection de fichiers comprenant la base de données Active Directory et leRegistre.

Sous Windows Server 2008, le concept d'état du système existe encore mais a étégrandement élargi. Du fait des interdépendances entre les rôles de serveur, laconfiguration physique et Active Directory, l'état du système est à présent un sous-ensemble d'une sauvegarde complète du serveur et, dans certaines configurations,peut être aussi volumineuse. Pour sauvegarder un contrôleur de domaine, vousdevez sauvegarder entièrement tous les volumes critiques.

Vous pouvez exploiter l'utilitaire Sauvegarde de Windows Server (le composantlogiciel enfichable ou la commande wbadmin.exe) pour sauvegarder l'état dusystème.




Lectures complémentaires• Guide pas à pas de la sauvegarde et de la restauration d'AD DS





Démonstration : Sauvegarde des services AD DS

Points clésDans cette démonstration, votre instructeur va vous montrer commentsauvegarder Active Directory. Vous aurez la possibilité de mettre vous-même une

procédure similaire en pratique dans l'atelier associé à ce module.

Étapes de la démonstrationPour effectuer une sauvegarde interactive d'Active Directory :

1. Ouvrez le composant logiciel enfichable Sauvegarde de Windows Server.

2. Cliquez sur le lien Sauvegarde unique. L'Assistant Sauvegarde unique s'affiche.

3. Dans la page des options de Sauvegarde, vérifiez que l'option Différentesoptions est sélectionnée, puis cliquez sur Suivant .

4. Dans la page Sélectionner la configuration de la sauvegarde, cliquez surPersonnalisé, puis sur Suivant .




5. Dans la page Sélectionner les éléments de sauvegarde, vérifiez que la case àcocher Activer la récupération du système est sélectionnée, puis cliquez surSuivant .

6. Dans la page Spécifier le type de destination, cliquez sur Suivant .

7. Dans la page Sélectionner la destination de sauvegarde, cliquez sur Suivant .

8. Dans la page Spécifier une option avancée, cliquez sur Sauvegarde complète VSS, puis cliquez sur Suivant .

9. Dans la page Confirmation, cliquez sur Sauvegarde.




Autres outils de sauvegarde et de restauration

Points clés Windows Server 2008 propose plusieurs outils supplémentaires liés à lasauvegarde et à la restauration des services de domaine Active Directory.

Dans la leçon précédente, vous avez appris à créer des instantanés d'ActiveDirectory. Ces instantanés, bien qu'en lecture seule, sont des éléments précieux del'image de restauration. D'abord, vous pouvez facilement parcourir les instantanéspour identifier le moment où un problème est survenu dans l'annuaire, puisrestaurer la sauvegarde appropriée en conséquence. Ensuite, si Windows nepropose pas de méthode permettant de copier ou de stocker les informations d'uninstantané dans l'instance de production d'Active Directory, certains scripts etoutils tiers vous permettent d'effectuer ces opérations.

La fonctionnalité Sauvegarde de Windows Server ajoute plusieurs applets decommande (cmdlet) Windows PowerShell qui vous permettent de créer des scripts

d'opérations de sauvegarde et de restauration.




Enfin, l'Environnement de récupération Windows (WinRE) se révèle d'une aideincroyable dans certains scénarios de récupération. WinRE est une version de Windows résidant en mémoire qui dérive de l'environnement de préinstallationMicrosoft Windows (WinPE). Vous pouvez lancer WinRE en démarrant à partir du

DVD de Windows Server 2008 et en choisissant Options de récupération systèmelorsque vous y êtes invité. L'invite de commande qui apparaît vous donne un accèscomplet aux volumes des disques non chiffrés du système. Vous pouvez utiliser lacommande wbadmin pour effectuer des opérations de sauvegarde ou derestauration, et de nombreux autres outils de ligne de commande pour larésolution des problèmes.

L'installation de WinRE sous forme d'option de démarrage dans le serveur estrecommandée en cas de défaillance du système d'exploitation principal. Vouspourrez ainsi démarrer directement WinRE sans avoir besoin du supportd'installation de Windows Server 2008.

Vous obtiendrez davantage d'informations sur l'environnement WinRE et sur lesautres outils de cette diapositive dans l'article répertorié à la section « Lecturescomplémentaires ».

Lectures complémentaires• Présentation de la sauvegarde et de la restauration sous Windows Server 2008





Options de restauration d'Active Directory

Points clésLorsqu'un contrôleur de domaine ou son annuaire est corrompu, endommagé oudéfaillant, plusieurs options vous permettent de restaurer le système.

La première de ces options est appelée « restauration normale » ou « restaurationne faisant pas autorité ». Lors d'une opération de restauration normale, vousrestaurez une sauvegarde d'Active Directory à une date que vous savez appropriée. Vous restaurez efficacement le contrôleur de domaine à un moment précis dupassé. Lorsque AD DS redémarre le contrôleur de domaine, ce dernier contacte sespartenaires de réplication et demande toutes les mises à jour qui ont suivi.Efficacement, le contrôleur de domaine « rattrape » le reste du domaine via lesmécanismes de réplication habituels.

La restauration normale est utile lorsque l'annuaire d'un contrôleur de domaine aété endommagé ou corrompu mais que le problème n'a pas atteint les autres

contrôleurs de domaine. Que se passe-t-il par contre lorsque le problème a déjà étérépliqué ? Par exemple, que se passe-t-il si vous supprimez des objets et que cettesuppression a été répliquée ?




Dans ce cas, la restauration normale ne suffit pas. Si vous restaurez une bonneversion d'Active Directory et que vous redémarrez le contrôleur de domaine, lasuppression (survenue après la sauvegarde) est de nouveau répliquée dans lecontrôleur domaine et vous vous retrouvez au point de départ.

C'est ici que la restauration faisant autorité est nécessaire. Avec la restaurationfaisant autorité, vous restaurez la version appropriée d'Active Directory commedans le cas d'une restauration normale. Cependant, avant de redémarrer lecontrôleur de domaine, vous désignez les objets à conserver (ceux qui ont étésupprimés accidentellement) comme faisant autorité de sorte qu'ils soientrépliqués à partir du contrôleur de domaine restauré vers ses partenaires deréplication. En coulisses, lorsque des objets sont désignés comme faisant autorité, Windows incrémente fortement le numéro de version de tous les attributs d'objetpour que ce numéro soit obligatoirement supérieur à celui de tous les autrescontrôleurs de domaine. Lorsqu'il redémarre, le contrôleur de domaine restauréréplique toutes les modifications apportées à l'annuaire à partir de ses partenaires

de réplication, mais signale également à ces derniers qu'il a changé. Grâce auxnuméros de version, les partenaires récupèrent alors les modifications et lesrépliquent dans tout le service d'annuaire.

La troisième option de restauration du service d'annuaire consiste à restaurer lecontrôleur de domaine dans son intégralité. Cette opération consiste à démarrerl'environnement de récupération Windows et à restaurer le contrôleur de domaineà partir d'une sauvegarde complète du serveur. Par défaut, il s'agit d'unerestauration normale. Si vous devez également désigner des objets comme faisantautorité, redémarrez le serveur en mode Restauration des services d'annuaire etdéfinissez ces objets comme faisant autorité avant de démarrer le contrôleur dedomaine en fonctionnement normal.

Enfin, vous pouvez restaurer une sauvegarde de l'état du système dans un autreemplacement. Cette opération vous permet d'examiner les fichiers et,éventuellement, de monter le fichier NTDS.dit selon les instructions de la leçonprécédente. Dans tous les cas, ne remplacez jamais les fichiers des versions deproduction par les fichiers issus d'un autre emplacement de restauration.N'effectuez jamais de restauration fragmentaire d'Active Directory. Cette optionpermet également d'utiliser l'option Installation à partir du support pour créer unnouveau contrôleur de domaine.




Restauration ne faisant pas autorité

Points clésPour effectuer une restauration d'Active Directory faisant ou non autorité, vousdevez disposer d'un accès complet aux fichiers du contrôleur de domaine. Cela

implique de redémarrer le contrôleur de domaine en mode Restauration desservices d'annuaire (DSRM).

Si vous redémarrez un contrôleur de domaine localement, appuyez sur la toucheF8 au démarrage et choisissez le mode Restauration des services d'annuaire dans lemenu de démarrage.

Vous pouvez également configurer le contrôleur de domaine pour qu'il redémarreautomatiquement en mode Restauration des services d'annuaire (DSRM). Servez-vous de cette méthode si vous accédez au contrôleur de domaine à distance via leBureau à distance.




Pour configurer un contrôleur de domaine pour qu'il redémarre en modeRestauration des services d'annuaire :

1. Ouvrez une invite de commande élevée, tapez la commande suivante etappuyez sur Entrée :

bcdedit /set safeboot dsrepair

2. Tapez la commande suivante, puis appuyez sur Entrée :

shutdown -t 0 -r

3. Pour redémarrer le serveur normalement une fois l'opération de restaurationterminée, tapez la commande suivante, puis appuyez sur Entrée :

bcdedit /deletevalue safeboot dsrepair

shutdown -t 0 -r

Lorsque vous démarrez un contrôleur de domaine en mode Restauration desservices d'annuaire, vous devez vous connecter en tant qu'Administrateur avec lemot de passe DSRM.

Vous pouvez alors utiliser la fonctionnalité Sauvegarde de Windows Server pourrestaurer la base de données de l'annuaire.

1. Ouvrez une invite de commande.

2. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 etappuyez sur Entrée.

Où D: est le volume dans lequel sont stockées les sauvegardes et HQDC01, lenom du contrôleur de domaine que vous restaurez.

3. Notez les informations renvoyées sur les versions.

4. Tapez wbadmin start systemstaterecovery -version:version, (où version est lenuméro enregistré à l'étape précédente), puis appuyez sur Entrée.

5. Tapez Y, puis appuyez sur Entrée.

Lorsque l'opération de restauration est terminée, redémarrez le serveur. Lecontrôleur de domaine « rattrapera » le reste du domaine en récupérant lesmodifications apportées à l'annuaire depuis la date de la sauvegarde auprès de sespartenaires de réplication.




Restauration faisant autorité

Points clésLa plupart des procédures impliquées dans une restauration faisant autorité sontles mêmes que pour une restauration ne faisant pas autorité.

Commencez par redémarrer le contrôleur de domaine en mode Restauration desservices d'annuaire. Ouvrez une session avec le compte Administrateur et le mot depasse DSRM. Restaurez l'annuaire avec la fonctionnalité Sauvegarde de WindowsServer selon les instructions de la diapositive précédente.

Toutefois, avant de redémarrer le contrôleur de domaine, vous devez désigner lesobjets que vous souhaitez conserver après le redémarrage comme faisant autorité,c'est-à-dire les objets supprimés que vous tentez de restaurer.

Pour désigner un objet comme faisant autorité, entrez les commandes suivantes àl'invite :

ntdsutil

authoritative restore

restore object "nom unique de l'objet "




Pour désigner une unité d'organisation ou un conteneur et tous ses sous-objetscomme faisant autorité, entrez les commandes suivantes à l'invite :

ntdsutil

authoritative restore

restore subtree "nom unique de l'objet "

Redémarrez le contrôleur de domaine. Le contrôleur de domaine récupère lesmodifications apportées à l'annuaire depuis la date de la sauvegarde auprès de sespartenaires de réplication. Toutefois, un numéro de version très élevé a été attribuéà tous les attributs des objets désignés comme faisant autorité. Ces objets serontdonc répliqués à partir du contrôleur de domaine restauré vers le reste du serviced'annuaire.




Atelier pratique C : Sauvegarde et restaurationd'Active Directory

ScénarioEn tant qu'administrateur de Contoso, la sauvegarde du service d'annuaire vousincombe. Aujourd'hui, vous avez remarqué que la sauvegarde de la nuit précédentene s'est pas exécutée comme prévu. Vous avez donc décidé d'effectuer unesauvegarde interactive. Peu de temps après la sauvegarde, un administrateur dedomaine a accidentellement supprimé l'unité d'organisation Employees. Parchance, la sauvegarde que vous venez d'effectuer vous permet de restaurer cetteunité d'organisation.




Exercice 1 : Sauvegarde d'Active DirectoryDans cet exercice, vous allez installer la fonctionnalité de sauvegarde de WindowsServer et l'utiliser pour planifier une sauvegarde d'Active Directory. Vous allezégalement effectuer une sauvegarde interactive du volume système.



2. Installer la fonctionnalité Sauvegarde de Windows Server.

3. Créer une sauvegarde planifiée.

4. Exécuter une sauvegarde interactive.


Les ordinateurs virtuels ont déjà dû être démarrés lors des Ateliers pratiques A et B.Toutefois, s'ils ont été arrêtés, procédez comme suit :



Tâche 2 : Installation de la fonctionnalité Sauvegarde de Windows Server

1. Dans HQDC01, exécutez le Gestionnaire de serveur en tant qu'administrateur,

avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.2. Installez toutes les fonctionnalités de Sauvegarde de Windows Server.

Tâche 3 : Création d'une sauvegarde planifiée

1. Exécutez la Sauvegarde de Windows Server avec des informationsd'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et lemot de passe Pa$$w0rd.

2. Dans le volet Actions, cliquez sur le lien Planification de sauvegarde.

L'Assistant Planification de sauvegarde apparaît.

3. Dans la page Mise en route, cliquez sur Suivant .

4. Dans la page Sélectionner la configuration de la sauvegarde, cliquez surPersonnalisé, puis sur Suivant .




5. Dans la page Sélectionner les éléments de sauvegarde, désactivez la case àcocher 6238B (D:), puis cliquez sur Suivant .

6. Dans la page Spécifiez l'heure de la sauvegarde, sélectionnez Tous les jours.

7. Dans la liste Sélectionner une heure, sélectionnez 12 h 00.

8. Cliquez sur Suivant .

9. Dans la page Sélectionner le disque de destination, cliquez sur Afficher tousles disques disponibles.

La boîte de dialogue Afficher tous les disques disponibles apparaît.

10. Cochez la case Disque 1, puis cliquez sur OK .

11. Dans la page Sélectionner le disque de destination, cochez la case Disque 1,puis cliquez sur Suivant .

La boîte de dialogue Sauvegarde de Windows Server qui s'affiche vous signale

que toutes les données du disque vont être supprimées.12. Cliquez sur Oui pour continuer.

13. Dans la page Nommer le disque de destination, cliquez sur Suivant .

14. Dans la page Confirmation, cliquez sur Annuler pour éviter le formatage dulecteur D.

Tâche 4 : Exécution d'une sauvegarde interactive

1. Dans le volet Actions de la fenêtre Sauvegarde de Windows Server, cliquez surSauvegarde unique.

2. Configurez la sauvegarde pour utiliser les paramètres suivants :

• Type de sauvegarde : Personnalisée

• Éléments de sauvegarde : Lecteur C: uniquement avec l'option Activerla récupération du système

• Option avancée : Sauvegarde complète VSS

3. La sauvegarde prend approximativement 10 à 15 minutes. Lorsque lasauvegarde est terminée, fermez l'utilitaire de sauvegarde de Windows Server.

Résultats : Au terme de cet exercice, vous aurez installé la fonctionnalité Sauvegardede Windows Server, vous l'aurez utilisée pour planifier la sauvegarde des informationsdes services de domaine Active Directory et pour effectuer une sauvegarde interactive.




Exercice 2 : Restauration d'Active Directory ou d'une unitéd'organisation suppriméeDans cet exercice, vous allez effectuer une restauration faisant autorité de la base

de données AD DS. Vous vérifierez ensuite que les données ont bien été restaurées.Les principales tâches sont les suivantes :

1. Suppression de l'unité d'organisation Employees

2. Redémarrage en mode Restauration des services d'annuaire (DSRM)

3. Restauration des données de l'état du système

4. Désignation des informations restaurées comme faisant autorité etredémarrage du serveur

5. Vérification de la restauration des données supprimées

Tâche 1 : Suppression de l'unité d'organisation Employees

1. Exécutez Utilisateurs et ordinateurs Active Directory en tantqu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot depasse Pa$$w0rd.

2. Supprimez l'unité d'organisation Contractors de l'unité d'organisation User Accounts.

3. Dans HQDC02, exécutez Utilisateurs et ordinateurs Active Directory en tantqu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de

passe Pa$$w0rd.4. Vérifiez que le contrôleur de domaine a bien répliqué la suppression de l'unité

d'organisation Contractors.

Tâche 2 : Redémarrage en mode Restauration des services d'annuaire

(DSRM)

1. Dans HQDC01, exécutez l'invite de commande en tant qu'administrateur, avecle nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Tapez bcdedit /set safeboot dsrepair pour configurer le serveur pour qu'ildémarre en mode Restauration des services d'annuaire.

3. Redémarrez HQDC01.




Tâche 3 : Restauration des données de l'état du système

1. Ouvrez une session en tant qu' Administrateur avec le mot de passePa$$w0rd.

2. Exécutez l'invite de commande en tant qu'administrateur.3. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 pour

obtenir les informations de version de la sauvegarde.

4. Restaurez les informations d'état du système en tapant wbadmin start systemstaterecovery -version:version -backuptarget:D: -machine:HQDC01.

C'est-à-dire wbadmin start systemstaterecovery -version:10/14/2009-01:11 -backuptarget:D: -machine:HQDC01.

La restauration prend 30 à 35 minutes environ.

Tâche 4 : Désignation des informations restaurées comme faisant

autorité et redémarrage du serveur

1. À l'invite de commande, utilisez NTDS pour effectuer une restauration faisantautorité de “OU=Contractors,OU=User Accounts,DC=contoso,DC=com”.

2. Pour redémarrer le serveur normalement après l'opération de restauration,tapez bcdedit /deletevalue safeboot , puis appuyez sur Entrée.

3. Redémarrez le serveur.

Tâche 5 : Vérification de la restauration des données supprimées

1. Après le redémarrage du serveur, ouvrez une session avec le nom d'utilisateurPat.Coleman et le mot de passe Pa$$w0rd.

2. Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur,avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

3. Dans HQDC02, actualisez l'affichage de Utilisateurs et ordinateurs ActiveDirectory . Vérifiez que l'unité d'organisation Contractors a également étérestaurée dans ce contrôleur de domaine.

Résultats : Au terme de cet exercice, vous aurez effectué une restauration faisantautorité des données Active Directory pour récupérer une unité d'organisationaccidentellement supprimée.






Question : Quel type de plan de sauvegarde des contrôleurs de domaine et duservice d'annuaire utilisez-vous ? Qu'envisagez-vous d'utiliser après avoir étudiécette leçon et terminé cet atelier ?

Question : Lorsque vous restaurez un utilisateur supprimé (ou une unitéd'organisation comprenant des objets utilisateur) par l'intermédiaire d'unerestauration faisant autorité, les objets sont-ils exactement les mêmesqu'auparavant ? Quels attributs peuvent être différents ?



Gestion de plusieurs domaines et forêts 14-1

Module 14Gestion de plusieurs domaines et forêts

Table des matières :Leçon 1 : Configuration des niveaux fonctionnels des domaines etdes forêts 14-4

Atelier pratique A : Augmenter les niveaux fonctionnels des domaineset des forêts 14-16

Leçon 2 : Gestion de plusieurs domaines et des relations d'approbation 14-23

Atelier pratique B : Administration d'une relation d'approbation 14-70





Au cours du Module 1, vous avez appris que les services de domaine ActiveDirectory (AD DS) fournissaient la base d'une solution de gestion des identités etdes accès, et vous avez étudié la création d'une infrastructure AD DS simple,constituée d'une seule forêt et d'un seul domaine. Dans les modules suivants, vousavez étudié de manière approfondie la gestion d'un environnement AD DS. Vousêtes à présent prêt à revenir au plus haut niveau d'une infrastructure AD DS pourétudier le modèle et les fonctionnalités de vos domaines et forêts. Dans ce module,vous allez apprendre à élever les niveaux fonctionnels des domaines et des forêtsdans votre environnement, à concevoir l'infrastructure AD DS optimale pour votreentreprise, à faire migrer des objets entre des domaines et des forêts et à autoriserune authentification et un accès aux ressources entre plusieurs domaines et forêts.

Objectifs

À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :• comprendre les niveaux fonctionnels des domaines et des forêts ;

• élever les niveaux fonctionnels des domaines et des forêts ;




• identifier les fonctions ajoutées par chaque niveau fonctionnel ;

• concevoir un domaine et une arborescence de domaine efficaces pour AD DS ;

• identifier le rôle de l'Outil de migration Active Directory et les problèmes liés à

la migration d'objet, et à la restructuration de domaine ;• comprendre les relations d'approbation ;

• configurer, administrer et sécuriser les relations d'approbation.




Leçon 1

Configuration des niveaux fonctionnels d'undomaine et d'une forêt

L'introduction de contrôleurs de domaine Windows Server® 2008 dans vosdomaines et votre forêt vous permet de tirer parti des nouvelles capacités duservice d'annuaire Active Directory. Les niveaux fonctionnels des domaines et desforêts sont les modes d'exploitation des domaines et des forêts, respectivement.Ces niveaux fonctionnels déterminent les versions de Windows® que vous pouvezutiliser comme contrôleurs de domaine et la disponibilité des fonctionnalitésd'Active Directory.

Objectifs

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• comprendre les niveaux fonctionnels des domaines et des forêts ;

• élever les niveaux fonctionnels des domaines et des forêts ;

• identifier les fonctions ajoutées par chaque niveau fonctionnel ;




Fonctionnement des niveaux fonctionnels

Points clés

Les niveaux fonctionnels sont comme des commutateurs qui activent les nouvellesfonctionnalités offertes par chaque version de Windows. Windows Server 2003 a

ajouté plusieurs fonctionnalités à Active Directory et Windows Server 2008poursuit l'évolution des Services de domaine Active Directory (AD DS). Cesfonctionnalités n'offrant pas de compatibilité descendante, si certains de voscontrôleurs de domaine exécutent Windows 2000 Server, vous ne pouvez pasactiver les fonctionnalités offertes par les versions ultérieures de Windows. Lesfonctionnalités les plus récentes sont désactivées. De la même façon, tant que tousles contrôleurs de domaine n'exécutent pas Windows Server 2008, vous ne pouvezpas implémenter les améliorations de ce dernier dans AD DS. L'élévation du niveaufonctionnel dépend de deux exigences majeures :

1. Tous les contrôleurs de domaine doivent exécuter la version appropriée de

Windows Server.2. Vous devez élever manuellement le niveau fonctionnel. Cela n'est pas

automatiquement effectué.




N'oubliez pas que seuls les contrôleurs de domaine déterminent votre capacité à définir un niveau fonctionnel. Les stations de travail et les serveurs membres peuventexécuter n'importe quelle version de Windows au sein d'un domaine ou d'uneforêt à n'importe quel niveau fonctionnel.

Il est important de noter que l'élévation d'un niveau fonctionnel est une opérationà sens unique : vous ne pouvez pas abaisser le niveau fonctionnel d'un domaine oud'une forêt. Par conséquent, après avoir élevé le niveau fonctionnel du domainepour le définir par exemple sur Windows Server 2008, vous ne pouvez plus ajouterpar la suite, dans le même domaine, de contrôleurs de domaine fonctionnant sous Windows Server 2003.

Il est également important de noter que, bien qu'une forêt puisse contenir desdomaines fonctionnant à différents niveaux fonctionnels, dès que le niveaufonctionnel de la forêt a été élevé, il n'est plus possible d'ajouter un contrôleur dedomaine exécutant une version antérieure de Windows dans aucun des domaines

de la forêt.




Niveaux fonctionnels des domaines

Points clés

Le niveau fonctionnel du domaine affecte les fonctionnalités Active Directorydisponible dans ce domaine et détermine les versions de Windows prises en

charge pour les contrôleurs du domaine. Dans les versions précédentes de Windows, les modes et les niveaux fonctionnels de domaine, ainsi nommés sous Windows 2000 Server, prenaient en charge les contrôleurs de domaine exécutant Windows NT® 4.0. Cette prise en charge a pris fin avec Windows Server 2008.Tous les contrôleurs de domaine doivent exécuter Windows 2000 Server ou uneversion ultérieure pour que vous puissiez ajouter le premier contrôleur de domaine Windows Server 2008 dans le domaine. Sous Windows Server 2008, ActiveDirectory prend en charge trois niveaux fonctionnels de domaine :

• Windows 2000 natif

• Windows Server 2003





Windows 2000 natif

Le niveau fonctionnel de domaine Windows 2000 natif est le plus bas niveaufonctionnel prenant en charge un contrôleur de domaine Windows Server 2008.Les systèmes d'exploitation suivants sont pris en charge pour les contrôleurs de

domaine :• Windows 2000 Server



Si certains de vos contrôleurs de domaine exécutent Windows 2000 Server ou Windows Server 2003, ou si vous envisagez d'en ajouter un ou plusieurs exécutantces versions précédentes de Windows, il est préférable de conserver le niveaufonctionnel Windows 2000 natif pour le domaine.

Windows Server 2003

Dès que tous les contrôleurs de domaine exécutant Windows 2000 Server ont étésupprimés ou mis à niveau, le niveau fonctionnel du domaine peut être élevé à Windows Server 2003. À ce niveau fonctionnel, le domaine ne peut plus prendreen charge les contrôleurs de domaine exécutant Windows 2000 Server. Tous lescontrôleurs de domaine doivent donc exécuter l'un des deux systèmesd'exploitation suivants :



Le niveau fonctionnel de domaine Windows Server 2003 ajoute un certain nombrede nouvelles fonctionnalités à celles offertes par le niveau fonctionnel Windows2000 natif. Notamment :

• Modification du nom des contrôleurs de domaine : l'outil de gestion desdomaines, netdom.exe, permet de renommer des contrôleurs de domaine.

• Attribut lastLogonTimestamp : lorsqu'un utilisateur ou un ordinateur seconnecte au domaine, l'attribut lastLogonTimestamp est mis à jour en fonctionde l'heure de connexion. Cet attribut est répliqué au sein du domaine.




• Attribut userPassword : les entités de sécurité d'Active Directorycomprennent des utilisateurs, des ordinateurs et des groupes. Une quatrièmeclasse d'objets, inetOrgPerson, est similaire à un utilisateur et permet d'intégrerplusieurs services d'annuaire non Microsoft. Au niveau fonctionnel de

domaine Windows Server 2003, vous pouvez définir l'attribut userPasswordcomme mot de passe effectif sur les objets inetOrgPerson et utilisateur. Cetattribut est en écriture seule. Vous ne pouvez pas récupérer le mot de passe àpartir de l'attribut userPassword.

• Redirection des conteneurs d'utilisateurs et d'ordinateurs par défaut : aucours du Module 5, vous avez appris que les commandes redirusr.exe etredircmp.exe vous permettaient de rediriger les conteneurs d'utilisateurs etd'ordinateurs par défaut. Cette redirection entraîne la création de nouveauxcomptes dans des unités d'organisation spécifiques et non plus dans lesconteneurs Utilisateurs et Ordinateurs.

• Stratégies du Gestionnaire d'autorisations : l'outil Gestionnaired'autorisations, qui permet aux applications de fournir une autorisation, peutstocker ses stratégies d'autorisation dans AD DS.

• Délégation contrainte : les applications peuvent tirer parti de la délégationsécurisée des informations d'identification des utilisateurs grâce au protocoled'authentification Kerberos. Vous pouvez limiter la délégation à des services dedestination spécifiques uniquement.

• Authentification sélective : dans la Leçon 2 de ce module, vous apprendrez àcréer des relations d'approbation entre votre domaine et un autre domaine ouune autre forêt. L'authentification sélective vous permet de désigner lesutilisateurs et les groupes d'une forêt ou d'un domaine approuvé(e) qui sontautorisés à s'authentifier auprès des serveurs de votre forêt.

• Contrôleurs de domaine en lecture seule (RODC) : pour qu'un contrôleurde domaine en lecture seule puisse être ajouté, le niveau fonctionnel dudomaine doit être défini sur Windows Server 2003. Vous devez en outreexécuter la commande adprep /rodcprep, et au moins un contrôleur dedomaine Windows Server 2003 inscriptible doit être en place.




Windows Server 2008

Lorsque tous les contrôleurs de domaine exécutent Windows Server 2008 etlorsque vous savez que vous n'aurez pas besoin d'ajouter des contrôleurs dedomaine exécutant des versions précédentes de Windows, vous pouvez élever le

niveau fonctionnel du domaine pour le définir sur Windows Server 2008. Leniveau fonctionnel de domaine Windows Server 2008 ne prend en charge que lescontrôleurs de domaine exécutant un seul système d'exploitation :


Le niveau fonctionnel de domaine Windows Server 2008 ajoute quatrefonctionnalités AD DS à l'échelle du domaine :

• Réplication DFSR du dossier SYSVOL : au cours du Module 11, vous avezappris à configurer le volume SYSVOL de sorte qu'il soit répliqué avec laréplication DFSR et non plus par le service de réplication de fichiers (FRS). La

réplication DFSR du contenu du dossier SYSVOL est plus robuste et plusdétaillée.

• Services de chiffrement avancés : la prise en charge des Services dechiffrement avancés (AES 128 et 256) pour le protocole Kerberos permet derenforcer la sécurité de l'authentification. AES remplace l'algorithme dechiffrement RC4-HMAC (Hash Message Authentication Code).

• Dernières informations de connexion interactives : lorsqu'un utilisateurouvre une session sur le domaine, plusieurs attributs de l'objet utilisateur sontmis à jour en fonction de l'heure, de la station de travail utilisée par l'utilisateuret du nombre d'échecs de tentative de connexion depuis la dernière ouverture

de session.

• Stratégies de mots de passe affinées : au cours du Module 8, vous avez apprisque des stratégies de mot de passe affinées vous permettaient de définir desstratégies de mots de passe uniques pour les utilisateurs ou les groupes dudomaine.




Augmenter le niveau fonctionnel du domaine

Vous pouvez élever le niveau fonctionnel du domaine lorsque tous ses contrôleursde domaine exécutent une version prise en charge de Windows et lorsque voussavez que vous n'aurez pas besoin d'ajouter des contrôleurs de domaine exécutant

des versions non prises en charge de Windows. Pour élever le niveau fonctionneldu domaine, ouvrez le composant logiciel enfichable Domaines et approbations Active Directory, cliquez du bouton droit sur le domaine et choisissez Augmenterle niveau fonctionnel du domaine. La boîte de dialogue qui s'affiche vous permetde sélectionner un niveau fonctionnel de domaine plus élevé.

Remarque : il s'agit d'une opération à sens unique. L'augmentation du niveaufonctionnel du domaine est une opération unidirectionnelle. Vous ne pouvez plus revenirau niveau fonctionnel précédent.

Vous pouvez également élever le niveau fonctionnel du domaine à l'aide ducomposant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquezdu bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel dudomaine ou cliquez du bouton droit sur le nœud racine du composant logicielenfichable et choisissez Augmenter le niveau fonctionnel du domaine dans le menuToutes les tâches.




Niveaux fonctionnels des forêts

Points clés

De la même façon que les niveaux fonctionnels de domaine autorisent certainesfonctionnalités à l'échelle du domaine et déterminent les versions de Windows

prises en charge pour les contrôleurs du domaine, les niveaux fonctionnels de forêtautorisent des fonctionnalités à l'échelle de la forêt et déterminent les systèmesd'exploitation pris en charge pour les contrôleurs de domaine de l'ensemble de laforêt. Sous Windows Server 2008, Active Directory prend en charge trois niveauxfonctionnels de forêt :

• Windows 2000



Chaque niveau fonctionnel est détaillé dans les sections suivantes.




Windows 2000

Le niveau fonctionnel de forêt Windows 2000 est le niveau de base, défini pardéfaut. Au niveau fonctionnel Windows 2000, les domaines peuvent s'exécuter àn'importe quel niveau fonctionnel de domaine pris en charge :

• Windows 2000 natif



Vous pouvez élever le niveau fonctionnel de la forêt lorsque tous ses domaines ontété élevés au niveau fonctionnel de domaine équivalent.

Windows Server 2003

Lorsque tous les domaines de la forêt sont au niveau fonctionnel de domaine Windows Server 2003 et que vous n'envisagez pas d'ajouter de nouveauxdomaines comprenant des contrôleurs de domaine Windows 2000 Server, vouspouvez augmenter le niveau fonctionnel de la forêt à Windows Server 2003. À ceniveau fonctionnel de forêt, les domaines peuvent s'exécuter aux niveauxfonctionnels de domaine suivants :



Le niveau fonctionnel de forêt Windows Server 2003 active les fonctionnalitéssuivantes :

• Approbations de forêt : vous apprendrez à créer des relations d'approbationentre des forêts à la Leçon 2.

• Changement du nom des domaines : vous pouvez renommer un domainedans une forêt.

• Réplication des valeurs liées : au niveau fonctionnel de forêt Windows 2000, lamodification de l'appartenance à un groupe entraîne la réplication de la totalitéde l'attribut Membre à plusieurs valeurs du groupe. Cela peut conduire à uneaugmentation du trafic de réplication sur le réseau et à une perte potentielle desmises à jour de l'appartenance lorsqu'un groupe est modifié simultanément dansplusieurs contrôleurs de domaine. Cela entraîne également un plafond conseilléde 5 000 membres par groupe. La réplication des valeurs liées, activée au niveaufonctionnel de forêt Windows Server 2003, réplique la modification individuellede l'appartenance et non pas la totalité de l'attribut Membre. Cette opérationconsomme moins de bande passante et évite la perte des mises à jour lorsqu'ungroupe est modifié simultanément dans plusieurs contrôleurs de domaine.




• Prise en charge des contrôleurs de domaine en lecture seule : lescontrôleurs de domaine en lecture seule sont détaillés au Module 8. Cescontrôleurs sont pris en charge au niveau fonctionnel de forêt Windows Server2003. Bien sûr, le contrôleur de domaine en lecture seule doit lui exécuter

Windows Server 2008.• Algorithmes et évolutivité améliorés du Vérificateur de cohérence des données

(KCC) : le générateur de topologie intersites (ISTG) utilise des algorithmes quipermettent à AD DS de prendre en charge la réplication dans des forêtscomprenant plus de 100 sites. Au niveau fonctionnel de forêt Windows 2000,vous devez intervenir manuellement pour créer des topologies de réplication pourles forêts comprenant des centaines de sites. De plus, le générateur ISTG utilise unalgorithme plus efficace qu'au niveau fonctionnel de forêt Windows 2000.

• Conversion des objets inetOrgPerson en objets utilisateur : vous pouvezconvertir une instance d'objet inetOrgPerson, utilisé pour la compatibilité avec

certains services d'annuaire non Microsoft, en une instance d'utilisateur de classe. Vous pouvez également convertir un objet utilisateur en objet inetOrgPerson.

• Prise en charge de la classe auxiliaire dynamicObject : le schéma autorisedes instances de la classe auxiliaire dynamique dans les partitions d'annuairedu domaine. Cette classe d'objets peut être utilisée par certaines applications etpar les développeurs.

• Prise en charge des groupes de base d'applications et des groupes derequêtes LDAP : deux nouveaux types de groupe, appelés groupes de based'applications et groupes de requêtes LDAP, permettent de prendre en chargel'autorisation à base de rôles dans les applications qui utilisent le Gestionnaired'autorisations.

• Désactivation et redéfinition des attributs et des classes d'objets : bien quevous ne puissiez pas supprimer un attribut ou une classe d'objets dans leschéma, le niveau fonctionnel Windows Server 2003 permet de désactiver oude redéfinir des attributs ou des classes d'objets.

Windows Server 2008

Le niveau fonctionnel de forêt Windows Server 2008 n'ajoute pas de nouvellesfonctionnalités à l'échelle de la forêt. Toutefois, dès que la forêt a atteint le niveaufonctionnel Windows Server 2008, les nouveaux domaines qui y sont ajoutés

fonctionnent par défaut au niveau fonctionnel de domaine Windows Server 2008. À ce niveau fonctionnel de forêt, tous les domaines doivent être au niveaufonctionnel de domaine Windows Server 2008, c'est-à-dire qu'ils doivent tousexécuter Windows Server 2008.




Augmenter le niveau fonctionnel de la forêt

Pour élever le niveau fonctionnel de la forêt, utilisez le composant logicielenfichable Domaines et approbations Active Directory. Cliquez du bouton droit surle nœud racine du composant logiciel enfichable Domaines et approbations Active

Directory et choisissez Augmenter le niveau fonctionnel de la forêt. La boîte dedialogue qui s'affiche vous permet de choisir un niveau fonctionnel de forêt plusélevé.

Élevez le niveau fonctionnel de la forêt uniquement si vous savez que vousn'ajouterez pas de nouveaux domaines à des niveaux fonctionnels de domaine non

pris en charge. Vous ne pourrez plus revenir au niveau fonctionnel de forêtprécédent après cette opération.




Atelier pratique A : Augmenter les niveauxfonctionnels des domaines et des forêts

Scénario

Vous êtes administrateur de domaine chez Tailspin Toys. Une succursalecomprenait encore un contrôleur de domaine Windows 2000 et vous venez de lemettre à niveau vers Windows Server 2008. Vous souhaitez à présent tirer parti desfonctionnalités offertes par les niveaux fonctionnels supérieurs de domaine et deforêt.




Exercice 1 : Augmenter le niveau fonctionnel du domaine àWindows Server 2003Dans cet exercice, vous allez tenter de profiter des capacités offertes par le niveau

fonctionnel de domaine Windows Server 2003. Vous verrez que ces capacités nesont pas prises en charge aux niveaux fonctionnels de domaine inférieurs. Vousaugmenterez ensuite le niveau fonctionnel du domaine. Enfin, vous testerez cescapacités avancées afin de vérifier qu'elles sont à présent prises en charge.



2. Confirmer le niveau fonctionnel actuel Windows 2000 natif du domaine.

3. Tester les fonctionnalités non prises en charge par le niveau fonctionnel dedomaine Windows 2000 natif.

4. Élever le niveau fonctionnel du domaine à Windows Server 2003.5. Vérifier les fonctionnalités prises en charge par le niveau fonctionnel de

domaine Windows Server 2003.


• Démarrez 6238B-TSTDC01-A et ouvrez une session avec le nom d'utilisateurSara.Davis et le mot de passe Pa$$w0rd.

Tâche 2 : Confirmation du niveau fonctionnel actuel Windows 2000natif du domaine

1. Dans TSTDC01, exécutez Domaines et approbations Active Directory entant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le motde passe Pa$$w0rd.

2. Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows 2000natif, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte dedialogue.




Tâche 3 : Test des fonctionnalités non prises en charge par le niveau

fonctionnel de domaine Windows 2000 natif

1. Exécutez l'invite de commande en tant qu'administrateur avec le nom

d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd.2. Tapez redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" et

appuyez sur Entrée. Le message qui s'affiche indique que la redirection n'a pasréussi. Le fait que le niveau fonctionnel de domaine ne soit pas au moins Windows Server 2003 en est la raison.

3. Tapez redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" et appuyezsur Entrée. Le message qui s'affiche indique que la redirection n'a pas réussi.Le fait que le niveau fonctionnel de domaine ne soit pas au moins WindowsServer 2003 en est la raison.

Tâche 4 : Augmenter le niveau fonctionnel de domaine à Windows

Server 2003

• Dans Domaines et approbations Active Directory , élevez le domaine auniveau fonctionnel Windows Server 2003.

Tâche 5 : Vérification des fonctionnalités prises en charge par le

niveau fonctionnel de domaine Windows Server 2003

1. Exécutez l'invite de commande en tant qu'administrateur avec le nom

d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. 2. Tapez redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" et

appuyez sur Entrée. Le message qui s'affiche indique que la redirection aréussi.

3. Tapez redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" et appuyezsur Entrée. Le message qui s'affiche indique que la redirection a réussi.

Résultats : Au terme de cet exercice, vous aurez élevé le domaine au niveaufonctionnel Windows Server 2003 et vérifié que les nouvelles fonctionnalités sontactivées.




Exercice 2 : Augmenter le niveau fonctionnel d'une forêt àWindows Server 2003Dans cet exercice, vous allez tenter de profiter des capacités offertes par le niveau

fonctionnel de forêt Windows Server 2003. Vous verrez que ces capacités ne sontpas prises en charge aux niveaux fonctionnels de forêt inférieurs. Vous élèverezensuite le niveau fonctionnel de forêt. Enfin, vous testerez ces capacités avancéesafin de vérifier qu'elles sont à présent prises en charge.


1. Confirmer le niveau fonctionnel actuel Windows 2000 natif de la forêt.

2. Tester les fonctionnalités non prises en charge par le niveau fonctionnel deforêt Windows 2000 natif.

3. Élever le niveau fonctionnel de forêt à Windows Server 2003.

4. Vérifier les fonctionnalités prises en charge par le niveau fonctionnel de forêt Windows Server 2003.

Tâche 1 : Confirmation du niveau fonctionnel actuel Windows 2000

natif de la forêt


2. Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows 2000

natif, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte dedialogue.




Tâche 2 : Test des fonctionnalités non prises en charge par le niveau

fonctionnel de forêt Windows 2000 natif

1. Exécutez Utilisateurs et ordinateurs Active Directory en tant

qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot depasse Pa$$w0rd.

2. Cliquez du bouton droit sur l'unité d'organisation Domain Controllers ettentez de créer un nouveau compte de contrôleur de domaine en lecture seule. Acceptez tous les paramètres définis par défaut dans l'Assistant Installation desservices de domaine Active Directory.

Le système vous empêche de créer un compte de contrôleur de domaine enlecture seule et vous signale que le niveau fonctionnel de la forêt doit être aumoins Windows Server 2003.

Tâche 3 : Augmenter le niveau fonctionnel de la forêt à Windows

Server 2003

• Dans Domaines et approbations Active Directory , augmentez la forêt auniveau fonctionnel Windows Server 2003.

Tâche 4 : Vérification des fonctionnalités prises en charge par le

niveau fonctionnel de forêt Windows Server 2003

• Dans Utilisateurs et ordinateurs Active Directory , créez un compte decontrôleur de domaine en lecture seule nommé TSTDC03 dans l'unitéd'organisation Domain Controllers. Acceptez toutes les valeurs définies pardéfaut dans l'Assistant Installation des services de domaine Active Directory.




Exercice 3 : Augmenter le niveau fonctionnel du domaine àWindows Server 2008Dans cet exercice, vous allez tenter de profiter des capacités offertes par le niveau

fonctionnel de domaine Windows Server 2008. Vous verrez que ces capacités nesont pas prises en charge aux niveaux fonctionnels de domaine inférieurs. Vousaugmenterez ensuite le niveau fonctionnel du domaine. Enfin, vous testerez cescapacités avancées afin de vérifier qu'elles sont à présent prises en charge.


1. Confirmer le niveau fonctionnel actuel inférieur à Windows Server 2008 pourle domaine.

2. Confirmer l'indisponibilité de la réplication DFSR pour les niveauxfonctionnels de domaine inférieurs à Windows Server 2008.

3. Augmenter le niveau fonctionnel du domaine.4. Confirmer la disponibilité de la réplication DFSR pour le niveau fonctionnel

Windows Server 2008 du domaine.

Tâche 1 : Confirmation du niveau fonctionnel actuel inférieur à

Windows Server 2008 pour le domaine


2. Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows Server2003, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte dedialogue.

Tâche 2 : Confirmation de l'indisponibilité de la réplication DFSR pour

les niveaux fonctionnels de domaine inférieurs à Windows Server 2008

1. Exécutez l'invite de commande en tant qu'administrateur avec le nomd'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd.

2. Tapez dfsrmig /getglobalstate et appuyez sur Entrée. Le message qui s'affichevous signale que la commande dfsrmig n'est prise en charge que par lesdomaines de niveau fonctionnel Windows Server 2008.




Tâche 3 : Augmenter le niveau fonctionnel du domaine

• Dans Domaines et approbations Active Directory , élevez le domaine auniveau fonctionnel Windows Server 2008.

• Fermez Domaines et approbations Active Directory.

Tâche 4 : Confirmation de la disponibilité de la réplication DFSR pour

le niveau fonctionnel Windows Server 2008 du domaine

• Revenez à l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyezsur Entrée. Le message qui s'affiche vous signale que la migration DFSR n'a pasencore été déclenchée. Cela signifie que cette fonctionnalité est à présentdisponible, mais n'a pas encore été initialisée.

Résultats : Au terme de cet exercice, vous aurez élevé le domaine au niveaufonctionnel Windows Server 2008 et vérifié que les nouvelles fonctionnalités sontdisponibles.

Remarque : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car lesparamètres que vous avez configurés ici seront utilisés dans les ateliers suivants.


Question : Pouvez-vous élever le domaine au niveau fonctionnel Windows Server2008 lorsque votre serveur Microsoft Exchange exécute encore Windows Server2003 ?

Question : Pouvez-vous élever un domaine au niveau fonctionnel Windows Server2008 lorsque d'autres domaines contiennent des contrôleurs de domainefonctionnant sous Windows Server 2003 ?




Leçon 2

Gestion de plusieurs domaines et des relationsd'approbation

Les modules précédents de ce cours vous ont préparé à configurer, administrer etgérer un seul domaine. Toutefois, l'infrastructure Active Directory de votreentreprise peut comprendre une forêt à plusieurs domaines ou même plusieursforêts. Vous pouvez donc être amené à déplacer des objets entre des domaines ouà restructurer entièrement votre modèle de domaines. Vous pouvez également êtreamené à activer l'authentification et à accéder à des ressources parmi des domaineset des forêts. Dans cette leçon, vous allez acquérir les compétences nécessairespour prendre en charge plusieurs domaines et forêts.




Objectifs

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• Concevoir une structure efficace de domaines et d'arborescences pour AD DS.

• Identifier le rôle de l'Outil de migration Active Directory et les problèmes liés àla migration d'objet et à la restructuration de domaine.

• Comprendre les relations d'approbation.

• Configurer, administrer et sécuriser les relations d'approbation.




Définition de votre structure de forêts et de domaines

Points clés

Avec vos acquis des modules précédents de ce cours, vous êtes prêt à concevoirvotre forêt, vos arborescences et vos domaines Active Directory. De façon

intéressante, les recommandations en matière de structure des forêts et desdomaines ont évolué au fur et à mesure de la mise en production d'Active Directorypar des entreprises du monde entier avec toutes les configurations imaginables etavec l'enrichissement du jeu de fonctionnalités Active Directory.




Domaine racine dédié à la forêt

Au tout début d'Active Directory, il était recommandé de créer un domaine racinedédié à la forêt. Vous avez vu au Module 1 que le domaine racine d'une forêt est lepremier domaine de cette forêt. L'objectif exclusif du domaine racine dédié à la forêt

est d'administrer l'infrastructure de la forêt. Il contient, par défaut, les opérations àmaître unique de la forêt. Il contient également les groupes très sensibles, parexemple Administrateurs de l'entreprise et Administrateurs du schéma, dont l'impactsur la forêt peut être très important. En théorie, la racine dédiée à la forêt renforçait lasécurité des fonctions à l'échelle de cette forêt. Le domaine racine dédié à la forêtserait également moins susceptible de devenir obsolète et simplifierait le transfert del'appartenance. Au-dessous de la racine dédiée à la forêt, selon les premièresrecommandations, un même domaine enfant global devait contenir tous les objetsque l'on pouvait retrouver dans un domaine : utilisateurs, groupes, ordinateurs, etc.La structure ressemblerait à celle présentée dans la figure ci-dessous.

Forêt à un seul domaine

Remarque : désormais non recommandé pour la plupart des entreprises.L'implémentation d'un domaine racine dédié à la forêt n'est plus recommandée pour laplupart des entreprises. La forêt à un seul domaine est la recommandation la plus

courante pour la conception. Comme il n'existe pas de conception unique convenant àtoutes les organisations, vous devez examiner les caractéristiques de votre entreprise parrapport aux critères de conception décrits dans la suite de cette leçon.




Dix années de commercialisation ont permis de mieux comprendre ActiveDirectory et l'ancienne recommandation n'est plus d'actualité. Pour la plupart desorganisations, la conception d'une forêt à un seul domaine est à présentrecommandée. Les expériences et les connaissances qui ont conduit à cettemodification des directives comprennent les points suivants :

• Comme vous le verrez dans la suite de cette leçon, toute forêt à plusieursdomaines entraîne des risques et des coûts. Un domaine unique réduit lescoûts du matériel et de l'assistance, de même que certains risques.

• Aucun outil ne permet encore à une entreprise de « tailler » et de « greffer » desarborescences Active Directory. En d'autres termes, vous ne pouvez pas retirerun domaine de votre arborescence et le transplanter dans la forêt d'une autreentreprise. Si cette opération était possible, une racine dédiée à la forêt dontvous pourriez assurer la gestion pendant le transfert des domaines vers et horsde votre forêt présenterait davantage d'intérêt.

• Vous pouvez implémenter une sécurité de privilège minimum dans un

domaine unique au moins aussi sécurisé, voire plus, qu'une forêt dotée d'uneracine dédiée et d'un domaine enfant.

Par conséquent, lorsque vous concevez votre domaine, partez de l'hypothèse quevotre forêt comprendra un seul domaine.

Forêt à plusieurs domaines

Dans certains cas, une forêt à plusieurs domaines est indispensable. L'élémentessentiel est de ne jamais créer de forêt à plusieurs domaines dans le seul but derefléter la structure organisationnelle de votre entreprise. Cette structure (les unitéscommerciales, les divisions, les départements et les bureaux) évoluera avec le

temps. La structure logique de votre service d'annuaire ne doit pas dépendreuniquement des caractéristiques de l'organisation.

À l'inverse, votre modèle de domaines doit dériver des caractéristiques desdomaines eux-mêmes. Certaines propriétés d'un domaine affectent l'ensemble desobjets de ce domaine et lorsque cet effet uniforme ne répond pas aux exigences devotre entreprise, vous devez créer des domaines supplémentaires. Un domaine secaractérise par les éléments suivants :

• Partition de domaine unique, répliquée dans tous les contrôleurs dedomaine : le contexte des noms de domaine contient les objets des utilisateurs,des ordinateurs, des groupes, des stratégies et des autres ressources du domaine.Il est répliqué dans tous les contrôleurs du domaine. Si la topologie de votreréseau implique un partitionnement de la réplication, vous devez créer desdomaines distincts. N'oubliez cependant pas que la réplication Active Directoryest extrêmement efficace et peut prendre en charge de très vastes domaines parl'intermédiaire de connexions à faible bande passante.




Lorsque des obligations légales ou professionnelles limitent la réplication decertaines données dans les emplacements où vous assurez la gestion descontrôleurs de domaine, vous devez soit éviter de stocker ces données dans lapartition du domaine, soit créer des domaines distincts pour isoler la

réplication. Dans ce cas, vous devez également veiller à ce que le catalogueglobal (CG) ne réplique pas ces données.

Les problèmes juridiques et techniques liés à la réplication tendant à affecter lecatalogue global et éventuellement d'autres magasins de données, lesorganisations concernées par ce type de problème se tournent de plus en plusvers des modèles à plusieurs forêts.

• Stratégie Kerberos unique : les paramètres de stratégie Kerberos par défautd'AD DS suffisent pour la plupart des entreprises. Si, toutefois, vous avezbesoin de stratégies Kerberos distinctes, vous aurez également besoin dedomaines distincts.

• Espace de noms DNS unique : un domaine Active Directory n'a qu'un seulnom de domaine DNS. Si vous avez besoin de plusieurs noms de domaine,vous aurez besoin de plusieurs domaines. Envisagez toutefois soigneusementles coûts et les risques liés aux domaines multiples avant de modéliser lesdomaines de votre service d'annuaire en fonction d'exigences de noms DNSarbitraires.

Dans les domaines qui exécutent des niveaux fonctionnels de domaine inférieurs à Windows Server 2008, un domaine ne peut prendre en charge qu'une seulestratégie de mot de passe et de verrouillage des comptes. De ce fait, dans lesversions précédentes de Windows, une organisation qui avait besoin de plusieurs

stratégies de mot de passe avait également besoin de plusieurs domaines poursatisfaire cette exigence. Ce n'est plus le cas sous Windows Server 2008 qui, auniveau fonctionnel de domaine Windows Server 2008, peut prendre en charge desstratégies de mot de passe affinées.

L'ajout de domaines dans une forêt augmente les coûts d'administration et de matériel.Chaque domaine doit être pris en charge par au moins deux contrôleurs dedomaine, ces derniers devant être sauvegardés, sécurisés et gérés. Dans uneentreprise géographiquement distribuée, des contrôleurs de domainesupplémentaires peuvent encore se révéler nécessaires pour assurer l'accès auxressources interdomaines. Les domaines supplémentaires peuvent impliquer le

déplacement d'utilisateurs entre les domaines, opération bien plus complexe que ledéplacement d'utilisateurs entre les unités d'organisation. Les objets de stratégie degroupe et les paramètres de contrôle d'accès communs dans l'entreprise doiventêtre dupliqués pour chaque domaine.




Ce ne sont là que quelques-uns des coûts inhérents aux environnements àplusieurs domaines. Des risques de sécurité sont également liés aux domainesmultiples. La plupart de ces risques sont dus au fait qu'un domaine n'est pas unebarrière de sécurité : cette barrière de sécurité correspond à la forêt. Au sein d'une

forêt, les administrateurs de services peuvent provoquer des dommages à l'échellede la forêt. Plusieurs catégories de vulnérabilité permettent à un compted'administration compromis, ou à un administrateur mal intentionné, deprovoquer un déni de service ou d'endommager l'intégrité de la forêt.

Par exemple, tout administrateur de domaine peut créer des groupes universels,dont l'appartenance est répliquée dans le catalogue global. La création de plusieursgroupes universels et le surpeuplement de l'attribut Membre peuvent entraîner uneréplication excessive, donc un déni de service dans les contrôleurs de domaine jouant le rôle de contrôleurs d'autres domaines. L'administrateur de tout domainepeut également restaurer une sauvegarde obsolète de l'annuaire, donc corrompre laforêt.


• Pour plus d'informations sur les aspects de sécurité liés à la conception desdomaines et des forêts, consultez la rubrique « Recommandations pour ladélégation de l'administration d'Active Directory » à l'adresse :http://go.microsoft.com/fwlink/?LinkId=168833

Important : du fait des coûts et des risques liés aux domaines multiples, la conceptiond'une forêt à un seul domaine est fortement recommandée. Les facteurs conduisant le

plus souvent à des forêts à plusieurs domaines sont d'importantes conditions requises enmatière de réplication du contexte des noms de domaine.

Dans une forêt à plusieurs domaines, il peut être judicieux de créer un domaineracine vide, dédié à la forêt et jouant le rôle de racine d'approbation pour la forêt.Les racines d'approbation sont traités dans la suite de cette leçon.




Arborescences multiples

N'oubliez pas qu'une arborescence est définie comme un espace de noms DNScontigu. Si vous avez plusieurs domaines, vous pouvez décider s'ils partagent unespace de noms DNS contigu et composent une seule arborescence, comme dans

la première figure, ou s'ils sont placés dans un espace de noms DNS non contigu,composant ainsi plusieurs arborescences, comme dans la deuxième figure.

Forêts multiples

Une forêt est une instance d'Active Directory. Tous les domaines et tous lescontrôleurs de domaine d'une forêt partagent les réplicas de la configuration et duschéma. Les contrôleurs de domaine qui sont également serveurs de catalogueglobal hébergent les jeux d'attributs partiels de tous les objets des autres domainesde la forêt. Les domaines d'une forêt partagent les approbations transitivesbidirectionnelles. Cela signifie que tous les utilisateurs d'un domaineappartiennent à l'identité spéciale Utilisateurs authentifiés de tous les domaines.

Les groupes Administrateurs de l'entreprise, Administrateurs du schéma et Administrateurs du domaine racine de la forêt exercent une influence importantesur tous les objets de la forêt.




Lorsque l'une de ces caractéristiques d'une forêt contredit les exigences de votreentreprise, il est possible que plusieurs forêts soient nécessaires. En réalité, étantdonné les problèmes de sécurité actuels, la plupart des consultants recommandentaux organisations de concevoir une forêt à un seul domaine ou d'utiliser plusieurs

forêts. Les approbations entre forêts, traitées dans la suite de cette leçon, et lesservices ADFS (Active Directory Federation Services) simplifient la gestion del'authentification dans les entreprises à plusieurs forêts.


• Pour plus d'informations sur la planification de l'architecture d'une entreprise AD DS, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168826.




Déplacement d'objets entre des domaines et des forêts

Points clés

Dans les scénarios à plusieurs domaines, vous pouvez être amené à déplacer desutilisateurs, des groupes ou des ordinateurs entre des domaines ou des forêts pour

assurer le fonctionnement de l'entreprise. Vous pouvez être amené à déplacer degrandes quantités d'utilisateurs, de groupes ou d'ordinateurs entre des domainesou des forêts pour implémenter des fusions et acquisitions ou restructurer votremodèle de domaines.

Pour chacune de ces tâches, vous déplacez ou copiez les comptes d'un domaine (ledomaine source) dans un autre domaine (le domaine cible). La terminologie, lesconcepts et les procédures de restructuration des domaines s'appliquent à lamigration inter-forêts entre un domaine source Windows NT 4.0 ou ActiveDirectory et un domaine cible Active Directory situé dans une forêt distincte, et à lamigration intra-forêt, c'est-à-dire, la restructuration ou le déplacement de comptes

entre les domaines d'une même forêt.




La restructuration des domaines inter-forêts préserve le domaine source existant etles comptes clones (ou copies) du domaine cible. Cette méthode non destructricepermet à l'entreprise de prévoir la transition ou d'effectuer une migration par phasesprogressives. Les opérations ne sont pas interrompues car les deux domaines sontconservés en parallèle pour prendre en charge les opérations de leurs utilisateurs.Cette méthode offre également un certain niveau d'annulation car l'environnementd'origine demeure quasiment inchangé. Lorsque la migration est terminée, il voussuffit de désaffecter le domaine source en déplaçant les comptes, les stations detravail et les serveurs membres restants dans le nouveau domaine et en mettant lescontrôleurs de domaine sources hors connexion. À ce stade, vous pouvez alorsredéployer ces contrôleurs de domaine pour les rôles du nouveau domaine.

Une migration intra-forêt implique le déplacement des objets du domaine sourcevers le domaine cible sans désaffectation du domaine source. Lorsque la migrationdes objets est terminée, vous pouvez restructurer vos domaines pour regrouper lesopérations et construire une structure de domaines et d'unités d'organisation

reflétant plus fidèlement votre modèle d'administration. La plupart desorganisations regroupent les différents domaines dans un même domaine ActiveDirectory. Ce regroupement peut entraîner des économies de coûts et simplifierl'administration en réduisant la complexité administrative et le coût de la prise encharge de votre environnement Active Directory.

Fonctionnement de l'Outil de migration Active Directory (ADMT)

L'Outil de migration Active Directory version 3 (ADMT v3) peut effectuer des tâchesde migration d'objets et de traduction de la sécurité. Vous pouvez télécharger l'outil ADMT v3 depuis la page http://go.microsoft.com/fwlink/?LinkID=75627. Vous ytrouverez également un guide détaillé de cet outil.

Vous pouvez exploiter l'outil ADMT pour faire migrer des objets entre un domainesource et un domaine cible. La migration peut s'effectuer entre les domaines d'unemême forêt (migration intra-forêt) ou entre les domaines de différentes forêts(migration inter-forêts). L'outil ADMT propose des Assistants qui automatisent lestâches de migration, par exemple la migration des utilisateurs, des groupes, descomptes de service, des ordinateurs et des approbations, et qui effectuent unetraduction de la sécurité. Pour effectuer ces tâches, vous pouvez utiliser la console ADMT ou la ligne de commande, qui vous permet de simplifier et d'automatiser lacommande admt.exe grâce à des fichiers d'options définissant les paramètres de latâche de migration. Ensuite, à l'aide d'un simple fichier texte, vous pouvez dresserla liste des objets à migrer au lieu de devoir saisir chaque objet sur la ligne decommande. ADMT fournit également des interfaces qui vous permettent de créerdes scripts de tâches de migration dans des langages comme VBScript (Microsoft Visual Basic® Scripting Edition). Exécutez la console ADMT et ouvrez la fonctiond'aide en ligne pour plus d'informations sur l'utilisation de l'outil ADMT à partir dela ligne de commande et sur la création des scripts ADMT.




Lorsque vous effectuez des tâches de migration, l'outil ADMT vous permet desimuler la migration afin d'évaluer les erreurs et les résultats potentiels sansmodifier le domaine cible. Les Assistants proposent l'option Tester les paramètresde migration et effectuer celle-ci ultérieurement. Vous pouvez alors configurer la

tâche de migration, tester ses paramètres et examiner les fichiers journaux et lesrapports générés par l'Assistant. Après avoir identifié et résolu les problèmeséventuels, vous pouvez effectuer la tâche de migration. Vous répéterez cetteprocédure de test et d'analyse des résultats au fur et à mesure que vous effectuerezla migration des utilisateurs, des groupes et des ordinateurs et que vous effectuerezdes traductions de la sécurité.

Identificateurs de sécurité et migration

La non interruption de l'accès aux ressources est le principal souci lors d'unemigration. Mieux encore, pour effectuer une migration, vous devez connaître lesconcepts d'identificateurs de sécurité (SID), de jetons, de listes de contrôle d'accès

(ACL) et d'attribut sIDHistory.Les SID sont des valeurs uniques dans le domaine qui sont affectées aux comptesdes entités de sécurité (utilisateurs, groupes et ordinateurs, par exemple) lors de lacréation de ces comptes. Lorsqu'un utilisateur ouvre une session, le jeton générécomprend le SID principal de l'utilisateur et les SID des groupes auxquels cetutilisateur appartient. Le jeton représente donc l'utilisateur, tous les SID qui luisont associés et ses appartenances à des groupes.

Les ressources sont sécurisées par l'intermédiaire d'un descripteur de sécurité quidécrit les autorisations, les appartenances, les droits étendus et les audits dechaque ressource. Ce descripteur de sécurité comprend deux listes de contrôled'accès (ACL). La liste de contrôle d'accès système (SACL) décrit les audits. La listede contrôle d'accès discrétionnaire (DACL) décrit les autorisations d'accès auxressources. Lorsqu'ils font référence à la liste ACL, la plupart des administrateurs etdes documents font en fait référence à la liste DACL. La liste DACL répertorie lesautorisations associées aux entités de sécurité. Dans cette liste, les entrées decontrôle d'accès individuelles (ACE) relient une autorisation spécifique au SIDd'une entité de sécurité. L'ACE peut être l'autorisation Autoriser ou Refuser.

Lorsqu'un utilisateur tente d'accéder à une ressource, le sous-système LSA (Autorité de sécurité locale) compare les SID du jeton de l'utilisateur à ceux des ACE présentes dans la liste de contrôle d'accès de la ressource.




Lorsque vous faites migrer des comptes vers un nouveau domaine, ils sont copiés ouclonés du domaine source vers le domaine cible. De nouveaux SID étant généréspour les comptes du domaine cible, les SID des nouveaux comptes ne correspondentpas aux SID des comptes du domaine source. Cela signifie que, même lorsque lescomptes clonés ont le même nom et de nombreuses propriétés identiques, les SIDétant différents d'un point de vue technique, ces comptes sont différents et n'aurontpas accès aux ressources du domaine source. Deux méthodes permettent derésoudre ce problème : l'attribut sIDHistory ou la traduction de la sécurité.

Attribut sIDHistory

Les entreprises préfèrent généralement profiter de l'attribut sIDHistory pourrestructurer efficacement leurs domaines. La casse, qui peut sembler étrange,reflète celle de l'attribut dans le schéma Active Directory. Une entité de sécurité Active Directory (qui peut être un utilisateur, un groupe ou un ordinateur) disposed'un SID principal et d'un attribut sIDHistory, qui peut contenir un ou plusieursSID également associés au compte. Lorsqu'un compte est copié dans un domaine

cible, Active Directory génère le SID unique de l'entité dans ce domaine. L'attributsIDHistory peut également être chargé avec le SID du compte dans le domainesource. Lorsqu'un utilisateur ouvre une session dans un domaine Active Directory,son jeton est renseigné avec le SID principal et l'attribut sIDHistory du compteutilisateur et des groupes auquel il appartient. Le sous-système LSA utilise les SIDde l'attribut sIDHistory comme les autres SID du jeton pour maintenir l'accès del'utilisateur aux ressources du domaine source.

Traduction de la sécurité

La traduction de la sécurité est le processus qui consiste à examiner le descripteur desécurité de chaque ressource, y compris ses listes de contrôle d'accès, à identifier

chaque SID faisant référence à un compte du domaine source et à remplacer ce SIDpar celui du compte dans le domaine cible. Le processus de réassociation des listesde contrôle d'accès (et des autres éléments du descripteur de sécurité) aux comptesmigrés dans le domaine cible est également appelé régénération des listes decontrôle d'accès. Comme vous pouvez l'imaginer, la traduction de la sécurité ou larégénération des listes de contrôle d'accès serait un processus laborieux s'il étaitmanuel, même dans l'environnement le plus simple. Les outils de migration telsqu'ADMT automatisent la traduction de la sécurité. L'outil ADMT peut traduire lesdescripteurs de sécurité et les stratégies des ressources du domaine source pour faireréférence aux comptes correspondants dans le domaine cible. De façon plusspécifique, l'outil ADMT peut traduire les éléments suivants :

• Autorisations des fichiers et des dossiers

• Autorisations des imprimantes

• Autorisations de partage




• Autorisations du Registre

• Droits des utilisateurs

• Profils locaux, ce qui implique la modification des autorisations des fichiers,des dossiers et du Registre

• Appartenances aux groupes

Dans la plupart des projets de restructuration et de migration de domaines,l'attribut sIDHistory permet de maintenir l'accès et les fonctionnalités pendant lamigration. La traduction de la sécurité est ensuite effectuée.


• Pour plus d'informations sur la migration de domaines, les SID et leurhistorique, consultez la rubrique « Guide de migration des domaines »(éventuellement en anglais) à l'adresse : http://go.microsoft.com/fwlink

/?LinkId=168829

Appartenances aux groupes

Le dernier problème lié à l'accès aux ressources est l'appartenance aux groupes.Les groupes globaux peuvent uniquement contenir des membres issus du mêmedomaine. Par conséquent, lorsque vous clonez un utilisateur dans le domaine cible,le nouveau compte d'utilisateur ne peut pas être membre des groupes globaux dudomaine source auxquels le compte source appartenait.

Pour résoudre ce problème dans le cas d'une migration inter-forêts, commencezpar faire migrer les groupes globaux vers le domaine cible. Ces groupes globaux

conserveront les SID des groupes sources dans leurs attributs sIDHistory. L'accèsaux ressources est ainsi préservé. Passez ensuite à la migration des utilisateurs.Lors de la migration des utilisateurs, l'outil ADMT évalue l'appartenance ducompte source et ajoute le nouveau compte au même groupe dans le domainecible. Si le groupe n'existe pas encore dans le domaine cible, l'outil ADMT peut lecréer automatiquement. Pour finir, le compte d'utilisateur du domaine cibleappartiendra aux groupes globaux du domaine cible. L'utilisateur et ses groupescontiendront les SID des comptes sources dans leurs attributs sIDHistory.L'utilisateur pourra donc accéder aux ressources du domaine source pourlesquelles des autorisations auront été accordées aux comptes sources.




Dans le cas d'une migration intra-forêt, le processus est différent. Un groupe globalest créé en tant que groupe universel dans le domaine cible et peut ainsi contenirles utilisateurs des domaines source et cible. Le nouveau groupe obtient unnouveau SID, mais son attribut sIDHistory est renseigné par le SID du groupe

global du domaine source, l'accès aux ressources du nouveau groupe étant ainsipréservé. Dès que tous les utilisateurs ont été migrés du domaine source vers ledomaine cible, l'étendue du groupe redevient globale.

Autres problèmes de migration

Lorsque vous planifiez et exécutez la migration d'objets entre des domaines et desforêts, vous devez résoudre un certain nombre de problèmes. Chacun de cesproblèmes est détaillé dans le guide de l'utilisateur de l'outil ADMT, disponibledepuis la page de téléchargement d'ADMT mentionnée précédemment. Lesproblèmes les plus importants sont notamment les suivants :

• Migration des mots de passe : l'outil ADMT assure la migration des mots de

passe utilisateur. Il ne peut cependant pas vérifier que ces mots de passerespectent les stratégies du domaine cible quant à leur longueur et leurcomplexité. La migration des mots de passe non vides est effectuée quelle quesoit la stratégie de mots de passe du domaine cible, et les utilisateurs peuventse connecter avec ces mots de passe jusqu'à leur expiration, date à laquelle unnouveau mot de passe conforme doit être créé. Si le verrouillage del'environnement au moment de la migration vous pose un problème, ceprocessus peut ne pas vous convenir. Vous préféreriez sans doute que l'outil ADMT configure des mots de passe complexes ou scripte un mot de passeinitial et oblige l'utilisateur à le modifier dès sa première ouverture de session.

• Comptes de service : les services des ordinateurs du domaine peuvent utiliserdes comptes d'utilisateur basés sur le domaine pour l'authentification. Lors dela migration de ces comptes dans le domaine cible, la nouvelle identité descomptes de service doit être mise à jour. L'outil ADMT automatise ceprocessus.

• Objets dont la migration est impossible : la migration transparente decertains objets n'est pas possible. L'outil ADMT ne peut pas effectuer lamigration des groupes intégrés, tels que Administrateurs du domaine ou Administrateurs locaux du domaine. Les instructions du guide de l'utilisateurpermettent de contourner cette limite.




Fonctionnement des relations d'approbation

Points clés

Dès que vous implémentez un scénario impliquant plusieurs domaines AD DS,l'utilisation de relations d'approbation ou d'approbations est probable. Il est donc

important que vous compreniez l'objectif, les fonctionnalités et la configuration desrelations d'approbation.




Relations d'approbation au sein d'un domaine

Au cours du Module 1, vous avez vu ce qui arrive lorsqu'un serveur ou une stationde travail membre d'un domaine rejoint un domaine. Tout en étant dans un groupede travail, l'ordinateur conserve un magasin d'identités dans la base de données du

gestionnaire de comptes de sécurité (SAM), authentifie les utilisateurs par rapportà ce magasin d'identités et sécurise les ressources du système en utilisantuniquement les identités issues de cette base de données SAM. Lorsquel'ordinateur rejoint un domaine, il établit une relation d'approbation avec cedernier. L'effet de cette approbation est que l'ordinateur autorise l'authentificationdes utilisateurs, non plus par le système local et son magasin d'identités local, maispar les services d'authentification et le magasin d'identités du domaine : AD DS. Lemembre du domaine autorise également la sécurisation des ressources du systèmepar les identités du domaine. Par exemple, le groupe Utilisateurs du domaine estajouté au groupe Utilisateurs local, ce qui lui permet de se connecter localement ausystème. De même, les comptes d'utilisateur et de groupe du domaine peuvent être

ajoutés dans des listes de contrôle d'accès pour des fichiers, des dossiers, des clésde Registre et des imprimantes du système. Les mêmes relations d'approbationsont établies entre tous les membres du domaine et le domaine, ce qui fait de cedernier un magasin central des identités et un service centralisé assurantl'authentification.

Relations d'approbation entre domaines

Sur cette base, vous pouvez étendre le concept de relations d'approbation àd'autres domaines. Une relation d'approbation entre deux domaines permet à undomaine d'approuver le service d'authentification et le magasin d'identités d'unautre domaine et d'utiliser ces identités pour sécuriser les ressources. Une relation

d'approbation établit en effet un lien logique entre les domaines et autorisel'authentification directe.

Chaque relation d'approbation comprend deux domaines : le domaine autorisé àapprouver et le domaine approuvé. Le domaine approuvé détient le magasind'identités et assure l'authentification des utilisateurs dans ce magasin d'identités.Lorsqu'un utilisateur de l'annuaire du domaine approuvé ouvre une session ou seconnecte à un système du domaine autorisé à approuver, ce dernier ne peut pasl'authentifier car il n'est pas dans son magasin. Il confie donc l'authentification à uncontrôleur de domaine du domaine approuvé. Le domaine autorisé à approuverautorise par conséquent le domaine approuvé à authentifier l'identité del'utilisateur. Le domaine autorisé à approuver étend l'approbation aux servicesd'authentification et au magasin d'identités du domaine approuvé.




Comme le domaine autorisé à approuver approuve les identités du domaineapprouvé, il peut utiliser les identités approuvées pour accorder l'accès auxressources. Les utilisateurs d'un domaine approuvé peuvent se voir accorder desdroits d'utilisateur, par exemple le droit d'ouvrir une session sur les stations de

travail du domaine autorisé à approuver. Des utilisateurs ou des groupes globauxdu domaine approuvé peuvent être ajoutés dans les groupes locaux du domaineautorisé à approuver. Des utilisateurs ou des groupes globaux du domaineapprouvé peuvent se voir accorder des autorisations sur des dossiers partagés vial'ajout des identités dans les listes de contrôle d'accès du domaine autorisé àapprouver.

La terminologie peut sembler confuse et il est souvent plus facile de comprendreles relations d'approbation en prenant un exemple concret. Le diagramme suivantprésente une relation d'approbation simple. Le Domaine A approuve le Domaine B.Le Domaine A est donc le domaine autorisé à approuver et le Domaine B, ledomaine approuvé. Lorsqu'un utilisateur du Domaine B se connecte ou ouvre une

session sur un ordinateur du Domaine A, ce dernier transmet la demanded'authentification à un contrôleur de domaine du Domaine B. Le Domaine A peutégalement utiliser des identités du Domaine B (les utilisateurs et les groupes, parexemple) pour accorder des droits utilisateur et un accès aux ressources duDomaine A. Un utilisateur ou un groupe du Domaine B peut donc être ajouté dansune liste de contrôle d'accès à un dossier partagé du Domaine A. Un utilisateur ouun groupe du Domaine B peut également être ajouté dans un groupe local duDomaine A.




Caractéristiques des relations d'approbation

Points clés

Les relations d'approbation entre domaines peuvent être représentées par troisattributs de l'approbation : la direction, la transitivité et l'approbation automatique

ou manuelle.

Direction

Une relation d'approbation peut être unidirectionnelle ou bidirectionnelle. Dansune approbation unidirectionnelle, telle que celle illustrée ci-dessus, les utilisateursdu domaine approuvé peuvent être autorisés à accéder aux ressources du domaineautorisé à approuver. Cependant, les utilisateurs du domaine autorisé à approuverne peuvent pas être autorisés à accéder aux ressources du domaine approuvé.Dans la plupart des cas, vous pouvez créer une seconde approbationunidirectionnelle de direction opposée pour résoudre ce problème. Vous pouvezpar exemple créer une seconde relation d'approbation dans laquelle le Domaine B

approuve le Domaine A. Certaines relations d'approbation sont bidirectionnellespar nature. Dans une approbation bidirectionnelle, les deux domaines approuventles identités et les services d'authentification de l'autre domaine.




Transitivité

Certaines approbations ne sont pas transitives, d'autres le sont. Dans la figureprécédente, le Domaine A approuve le Domaine B et le Domaine B approuve leDomaine C. Si les approbations sont transitives, alors le Domaine A approuve le

Domaine C. Si elles ne sont pas transitives, le Domaine A n'approuve pas leDomaine C. Dans la plupart des cas, vous pouvez créer une troisième relationd'approbation spécifiant que le Domaine A approuve le Domaine C. Lesapprobations transitives rendent inutile cette troisième approbation, car elle estimplicite.

Approbation automatique ou manuelle

Certaines approbations sont créées automatiquement. D'autres doivent être crééesmanuellement.




Fonctionnement des approbations dans une forêt

Points clés

Dans une forêt, tous les domaines s'approuvent mutuellement. Cela est dû au faitque le domaine racine de chaque arborescence d'une forêt approuve le domaine

racine de la forêt (premier domaine installé dans cette forêt) et que chaquedomaine enfant approuve son domaine parent. Les approbations crééesautomatiquement ne doivent jamais être supprimées et elles sont transitives etbidirectionnelles. Ainsi, un domaine approuve les magasins d'identités et lesservices d'authentification de tous les autres domaines de sa forêt. Les utilisateurset les groupes globaux de n'importe quel domaine de la forêt peuvent être ajoutésaux groupes locaux du domaine, peuvent se voir accorder des droits d'utilisateurset peuvent être ajoutés dans les listes de contrôle d'accès aux ressources den'importe quel autre domaine de la forêt. Les approbations d'autres forêts et desdomaines situés hors de la forêt doivent être établies manuellement. Ce résuméétant fait, vous pouvez examiner les détails des approbations au sein et hors d'une

forêt Active Directory.




Protocoles d'authentification

Sous Windows Server 2008, Active Directory authentifie les utilisateurs par l'undes deux protocoles possibles : Kerberos version 5 (v5) ou NTLM. Le protocoleKerberos v5 est utilisé par défaut par les ordinateurs fonctionnant sous Windows

Server 2008, Windows Vista®, Windows Server 2003, Windows XP et Windows2000 Server. Lorsqu'un ordinateur impliqué dans une transactiond'authentification ne prend pas en charge le protocole Kerberos v5, le protocoleNTLM le remplace. L'authentification NTLM peut être désactivée par les stratégiesde groupe.

Authentification Kerberos dans un domaine

Lorsqu'un utilisateur ouvre une session sur un client exécutant Kerberos v5, lademande d'authentification est transmise à un contrôleur de domaine. Chaquecontrôleur de domaine Active Directory joue le rôle de Centre de distribution declés (KDC), composant central de Kerberos. Une fois l'identité de l'utilisateur

validée, le centre KDC du contrôleur de domaine remet à l'utilisateur authentifié ceque l'on appelle un ticket TGT (ticket-granting ticket).

Lorsque l'utilisateur doit accéder aux ressources d'un ordinateur du mêmedomaine, il doit d'abord obtenir un ticket de session valide pour cet ordinateur.Les tickets de session étant fournis par le centre KDC d'un contrôleur de domaine,l'utilisateur s'adresse à un contrôleur de domaine pour lui demander un ticket desession. L'utilisateur présente le ticket TGT comme preuve de son authentificationpréalable. Le centre KDC peut ainsi répondre à la demande de ticket de session del'utilisateur sans authentifier à nouveau son identité. La demande de ticket desession de l'utilisateur spécifie l'ordinateur et le service auxquels cet utilisateursouhaite accéder. Le centre KDC s'aperçoit que le service est dans le mêmedomaine grâce au nom principal de service (SPN) du serveur à l'origine de lademande. Le centre KDC remet alors à l'utilisateur un ticket de session pour ceservice.

L'utilisateur se connecte ensuite au service et présente son ticket de session. Leserveur peut ainsi vérifier que le ticket est valide et que l'utilisateur a été authentifiépar le domaine. L'opération passe par des clés privées, un sujet qui dépasse laportée de cette leçon. Le serveur n'a donc pas besoin d'authentifier l'utilisateur. Ilaccepte l'authentification et l'identité fournies par le domaine avec lequell'ordinateur a établi une relation d'approbation.

Toutes ces transactions Kerberos sont gérées par les clients et les serveurs Windows et sont transparentes pour les utilisateurs.




Authentification Kerberos entre les domaines d'une forêt

Chaque domaine enfant d'une forêt approuve son domaine parent par uneapprobation transitive, bidirectionnelle et automatique appelée approbationparent-enfant. Le domaine racine de chaque arborescence d'un domaine approuve

le domaine racine de la forêt par une approbation transitive, bidirectionnelle etautomatique appelée approbation arborescence-racine.

Ces relations d'approbation créent ce que l'on appelle le chemin d'approbation ouflux d'approbation d'une forêt. Le chemin d'approbation est facile à comprendrelorsqu'on regarde un diagramme, illustré ci-après. La forêt comprend deuxarborescences, l'arborescence tailspintoys.com et l'arborescence wingtiptoys.com.Le domaine tailspintoys.com est le domaine racine de la forêt. L'illustrationindique que le domaine racine de l'arborescence wingtiptoys.com approuve ledomaine tailspintoys.com.




L'authentification Kerberos utilise le chemin d'approbation pour remettre àl'utilisateur d'un domaine un ticket de session pour un service d'un autre domaine.Lorsqu'un utilisateur du domaine usa.wingtiptoys.com demande à accéder à undossier partagé d'un serveur du domaine europe.tailspintoys.com, les transactions

suivantes surviennent :1. L'utilisateur ouvre une session sur un ordinateur du domaine

usa.wingtiptoys.com et est authentifié par un contrôleur du domaineusa.wingtiptoys.com, via le processus d'authentification décrit à la sectionprécédente. L'utilisateur obtient un ticket TGT pour le contrôleur de domainede usa.wingtiptoys.com.

L'utilisateur souhaite se connecter à un dossier partagé d'un serveur deeurope.tailspintoys.com.

2. L'utilisateur contacte le centre KDC d'un contrôleur de domaine deusa.wingtiptoys.com pour demander un ticket de session pour le serveur de

europe.tailspintoys.com.3. Par le nom principal de service (SPN), le contrôleur de domaine de

usa.wingtiptoys.com s'aperçoit que le service désiré réside danseurope.tailspintoys.com et non pas dans le domaine local.

Le travail du centre KDC consiste donc à jouer le rôle d'intermédiaireapprouvé entre un client et un service. Lorsque le centre KDC ne peut pasfournir de ticket de session pour le service car ce dernier est dans un domaineapprouvé et non dans le domaine local, il fournit une référence au client pourl'aider à obtenir le ticket de session demandé.

Pour connaître la prochaine étape, le centre KDC utilise un algorithme simple.Si le domaine du centre KDC est approuvé directement par le domaine duservice, le centre KDC remet au client une référence pour un contrôleur dudomaine du service. Si ce n'est pas le cas, mais qu'une approbation transitiveexiste entre le centre KDC et le domaine du service, le centre KDC remet auclient une référence pour le prochain domaine dans le chemin d'approbation.

4. Le domaine usa.wingtiptoys.com n'est pas approuvé directement pareurope.tailspintoys.com, mais une approbation transitive existe entre les deuxdomaines. Le centre KDC du domaine usa.wingtiptoys.com remet donc auclient une référence pour un contrôleur du prochain domaine dans le chemind'approbation, wingtiptoys.com.

5. Le client contacte le centre KDC du domaine de référence, wingtiptoys.com.




6. De nouveau, le centre KDC s'aperçoit que le service n'est pas dans le domainelocal et que le domaine europe.tailspintoys.com n'approuve pas directementwingtiptoys.com. Il renvoie donc une référence à un contrôleur du prochaindomaine dans le chemin d'approbation, tailspintoys.com.

7. Le client contacte le centre KDC du domaine de référence, tailspintoys.com.8. Le centre KDC s'aperçoit que le service n'est pas dans le domaine local et que

le domaine europe.tailspintoys.com approuve directement le domainetailspintoys.com. Il renvoie donc une référence à un contrôleur du domaineeurope.tailspintoys.com.

9. Le client contacte le centre KDC du domaine de référence,europe.tailspintoys.com.

10. Le centre KDC du domaine europe.tailspintoys.com renvoie au client un ticketde session pour le service.

11. Le client contacte le serveur et fournit son ticket de session. Le serveur fournitun accès au dossier partagé sur la base des autorisations attribuées àl'utilisateur et aux groupes auxquels il appartient.

Ce processus semble compliqué mais n'oubliez pas qu'il reste entièrementtransparent pour l'utilisateur.

Le processus inverse se produit lorsqu'un utilisateur du domaineusa.wingtiptoys.com ouvre une session sur un ordinateur du domaineeurope.tailspintoys.com. La demande d'authentification initiale doit traverser lechemin d'approbation pour atteindre un centre KDC du domaine

usa.wingtiptoys.com avant que l'utilisateur ne soit authentifié.Il n'est pas nécessaire de maîtriser l'ensemble des détails de l'authentificationKerberos entre les domaines d'une forêt pour l'examen 70-640. Cependant,comprendre le fonctionnement de base d'une authentification inter-domaines dansune forêt et savoir que cette authentification suit un chemin d'approbation, vousaidera dans votre travail.




Démonstration : Création d'une approbation

Points clés

La procédure de création d'une approbation est similaire quelles que soient lescatégories d'approbation. Pour pouvoir créer une approbation, vous devez être

membre du groupe Administrateurs du domaine ou Administrateurs del'entreprise.

Pour créer une relation d'approbation :

1. Ouvrez le composant logiciel enfichable Domaines et approbations ActiveDirectory .

2. Cliquez du bouton droit sur le domaine qui participera à l'un des côtés de larelation d'approbation et choisissez Propriétés.

Vous devez exécuter Domaines et approbations Active Directory avec uncompte autorisé à créer des approbations dans ce domaine.

3. Ouvrez l'onglet Approbations.




4. Cliquez sur le bouton Nouvelle approbation.

L'Assistant Nouvelle approbation vous guide tout au long de la création del'approbation.

5. Dans la page Nom d'approbation, entrez le nom DNS de l'autre domaine de larelation d'approbation, puis cliquez sur Suivant .

6. Si le domaine saisi n'appartient pas à la même forêt, vous êtes invité à choisirun type d'approbation parmi les suivants :

• Forêt

• Externe

• Domaine Kerberos

Si le domaine est dans la même forêt, l'Assistant sait qu'il s'agit d'un raccourcid'approbation.

7. Si vous créez une approbation de domaine Kerberos, le système vous demandede préciser si l'approbation est transitive ou non. (Les approbations dedomaine Kerberos sont traitées dans la suite de cette leçon.)

8. Dans la page Direction de l'approbation, sélectionnez l'un des éléments suivants :

• Bidirectionnelle : cette option établit une approbation bidirectionnelleentre les domaines.

• Unidirectionnelle : entrante : cette option établit une approbationunidirectionnelle dans laquelle le domaine sélectionné à l'étape 2 est ledomaine approuvé et le domaine saisi à l'étape 5, le domaine autorisé àapprouver.

• Unidirectionnelle : sortante : cette option établit une approbationunidirectionnelle dans laquelle le domaine sélectionné à l'étape 2 est ledomaine autorisé à approuver et le domaine saisi à l'étape 5, le domaineapprouvé.

9. Cliquez sur Suivant .

10. Dans la page Sens de l'approbation, sélectionnez l'un des éléments suivants :

• Ce domaine et le domaine spécifié : cette option établit les deux côtés del'approbation. Vous devez pour cela être autorisé à créer des approbationsdans les deux domaines.

• Ce domaine uniquement : cette option crée la relation d'approbationdans le domaine sélectionné à l'étape 2. Un administrateur autorisé à créerdes approbations dans l'autre domaine doit recommencer ce processuspour compléter la relation d'approbation.




Les étapes suivantes dépendent des options sélectionnées aux étapes 8 et 10.Elles concerneront l'un des éléments suivants :

• Si vous avez sélectionné Ce domaine et le domaine spécifié, vous devezsaisir un nom d'utilisateur et un mot de passe autorisés à créer

l'approbation dans le domaine spécifié à l'étape 5.• Si vous avez sélectionné Ce domaine uniquement , vous devez saisir un

mot de passe d'approbation. Le mot de passe d'approbation est saisi parles administrateurs de chaque côté d'une approbation pour établir cettedernière. Ces mots de passe ne doivent pas être ceux des comptesd'utilisateur des administrateurs. Il doit s'agir d'un mot de passe unique,réservé à la création de cette approbation. Les mots de passe sont utiliséspour établir l'approbation et les domaines les changent ensuiteimmédiatement.

11. Si l'approbation est sortante, vous êtes invité à choisir l'un des éléments

suivants :• Authentification sélective

• Authentification à l'échelle du domaine ou Authentification à l'échellede la forêt , selon que le type d'approbation est une approbation externeou une approbation de forêt, respectivement.

12. L'Assistant Nouvelle approbation récapitule vos sélections dans la page Findes sélections de l'approbation. Cliquez sur Suivant .

L'Assistant crée l'approbation.

13. La page Fin de la création de l'approbation s'affiche. Vérifiez les paramètres,puis cliquez sur Suivant .

Vous aurez ensuite la possibilité de confirmer l'approbation. Cette option esttrès utile si vous avez créé les deux côtés de l'approbation ou si vous terminezle second côté d'une approbation.




Si vous avez sélectionné l'option Ce domaine et le domaine spécifié à l'étape 8,la procédure est terminée. Si vous avez sélectionné l'option Ce domaineuniquement à l'étape 8, la relation d'approbation ne sera pas complète tantqu'un administrateur de l'autre domaine n'aura pas terminé la procédure :

• Si la relation d'approbation que vous avez établie est sortante etunidirectionnelle, un administrateur de l'autre domaine doit créer uneapprobation entrante unidirectionnelle.

• Si la relation d'approbation que vous avez établie est entrante etunidirectionnelle, un administrateur de l'autre domaine doit créer uneapprobation sortante unidirectionnelle.

• Si la relation d'approbation que vous avez établie est bidirectionnelle, unadministrateur de l'autre domaine doit créer une approbationbidirectionnelle.

Lectures complémentaires• Les procédures détaillées de création de chaque type d'approbations sont

disponibles à l'adresse : http://go.microsoft.com/fwlink/?LinkId=168830




Raccourcis d'approbation

Points clés

Quatre types d'approbations peuvent être créés manuellement :

• Raccourcis d'approbation

• Approbations externes

• Approbations de domaine Kerberos

• Approbations de forêt

Chacun de ces types d'approbations est détaillé dans les sections suivantes.




Raccourcis d'approbation

Dans une section précédente, une procédure en 11 étapes permettait d'accorder unticket de session à un client pour accéder à une ressource d'un autre domaine de laforêt. La plupart de ces étapes impliquaient des références à des domaines situés

sur le chemin d'approbation entre le domaine de l'utilisateur et celui du dossierpartagé. Lorsqu'un utilisateur d'un domaine ouvre une session sur un ordinateurd'un autre domaine, la demande d'authentification doit également traverser cechemin d'approbation. Cette opération peut affecter les performances et, lorsqueaucun contrôleur de domaine n'est disponible dans les domaines du chemind'approbation, le client ne peut pas s'authentifier ni accéder au service.

Les raccourcis d'approbation sont conçus pour résoudre ces problèmes en créantdirectement une relation d'approbation entre les domaines enfants du chemind'approbation de la forêt.

Les raccourcis d'approbation optimisent les demandes d'authentification et de

ticket de session entre les domaines d'une forêt à plusieurs domaines. En éliminantle chemin d'approbation, ils éliminent également le temps nécessaire pourtraverser ce chemin et peuvent donc considérablement améliorer les performancesdes demandes de ticket de session.

Un raccourci d'approbation peut être unidirectionnel ou bidirectionnel. Dans lesdeux cas, l'approbation est transitive. Dans l'illustration suivante, l'existence d'unraccourci d'approbation unidirectionnel implique que le domaine wingtiptoys.comapprouve le domaine europe.tailspintoys.com.




Lorsqu'un utilisateur du domaine europe.tailspintoys.com ouvre une session surun ordinateur du domaine wingtiptoys.com ou demande une ressource dudomaine wingtiptoys.com, la demande peut faire directement référence à uncontrôleur du domaine approuvé, asia.wingitiptoys.com. Toutefois, l'inverse n'est

pas vrai. Lorsqu'un utilisateur du domaine wingtiptoys.com ouvre une session surun ordinateur du domaine europe.tailspintoys.com, la demande d'authentificationremonte le chemin d'approbation jusqu'au domaine tailspintoys.com et redescend jusqu'au domaine wingtiptoys.com.

Un raccourci d'approbation bidirectionnel est illustré entre les domainesusa.wingtiptoys.com et europe.tailspintoys.com. Les utilisateurs des deuxdomaines peuvent être authentifiés par les ordinateurs de l'autre domaine ou leurdemander leurs ressources. Le chemin du raccourci d'approbation est alors utilisé.




Approbations externes et approbations de domaineKerberos

Points clés

Approbations externes

Pour travailler avec un domaine qui n'appartient pas à votre forêt, la création d'uneapprobation externe peut être nécessaire. Une approbation externe établit unerelation d'approbation entre un domaine de votre forêt et un domaine Windowsqui n'appartient pas à votre forêt. L'illustration en propose quelques exemples.




Vous pouvez voir qu'une approbation unidirectionnelle relie le domainesales.worldwideimporters.com et le domaine europe.tailspintoys.com. Le domaineEurope approuvant le domaine Sales, les utilisateurs de ce dernier peuvent ouvrirune session sur les ordinateurs du domaine Europe ou accéder à ses ressources.

L'illustration montre qu'une approbation bidirectionnelle relie le domaineworldwideimporters.com et le domaine asia.tailspintoys.com. Les utilisateurs dechaque domaine peuvent se voir accorder un accès aux ressources de l'autredomaine. D'un point de vue technique, toutes les approbations externes sont nontransitives et unidirectionnelles. Lorsque vous créez une approbation externebidirectionnelle, vous créez en fait deux approbations unidirectionnelles, une danschaque sens.

Lorsque vous créez une approbation externe sortante, Active Directory crée unobjet entité de sécurité externe pour chaque entité de sécurité du domaineapprouvé. Ces utilisateurs, groupes et ordinateurs peuvent alors être ajoutés dans

les groupes locaux ou les listes de contrôle d'accès aux ressources du domaineautorisé à approuver.

Pour renforcer la sécurité d'une relation d'approbation externe, vous pouvezsélectionner l'option Authentification sélective dans la page Niveaud'authentification d'approbations sortantes de l'Assistant Nouvelle approbation. Deplus, la quarantaine de domaine, également appelée filtrage des SID, est activée pardéfaut dans toutes les approbations externes.

Approbations de domaine Kerberos

Lorsqu'une interopérabilité interplateformes est nécessaire avec des services desécurité basés sur d'autres implémentations Kerberos v5, vous pouvez établir une

approbation de domaine Kerberos entre votre domaine et un domaine UNIXKerberos v5. Les approbations de domaine Kerberos sont unidirectionnelles, maisvous pouvez établir des approbations unidirectionnelles dans chaque sens pourcréer une approbation bidirectionnelle. Par défaut, les approbations de domaineKerberos sont non transitives, mais elles peuvent être rendues transitives.




Lorsqu'un domaine Kerberos v5 non Windows approuve votre domaine, ledomaine Kerberos approuve toutes les entités de sécurité de votre domaine. Sivotre domaine approuve un domaine Kerberos v5 non Windows, les utilisateurs dece dernier peuvent obtenir un accès aux ressources de votre domaine, mais ce

processus est indirect. Lorsque les utilisateurs sont authentifiés par un domaineKerberos non Windows, les tickets Kerberos ne contiennent pas toutes lesdonnées d'autorisation nécessaires pour Windows. Un système de mappage descomptes est donc utilisé. Des entités de sécurité sont créées dans le domaine Windows et mappées avec une identité Kerberos externe du domaine Kerberosnon Windows approuvé. Le domaine Windows n'utilise ces comptes proxy quepour évaluer l'accès aux objets du domaine présentant des descripteurs de sécurité.Tous les comptes proxy Windows peuvent être utilisés dans des groupes et dansdes listes de contrôle d'accès pour contrôler l'accès au nom de l'entité de sécuriténon Windows. Les mappages de comptes sont gérés par l'intermédiaire ducomposant logiciel enfichable Utilisateurs et ordinateurs Active Directory.




Approbations de forêt

Points clés

Lorsqu'une collaboration entre deux entreprises représentées par deux forêtsdistinctes est nécessaire, vous pouvez envisager d'implémenter une approbation de

forêt. Une approbation de forêt est une relation d'approbation transitiveunidirectionnelle ou bidirectionnelle entre les domaines racines de forêt de deuxforêts. L'illustration présente un exemple d'approbation de forêt entre les forêtstailspintoys.com et worldwideimporters.com.




Une seule relation d'approbation de forêt autorise l'authentification d'un utilisateurde n'importe quel domaine par n'importe quel autre domaine de l'une ou l'autredes forêts, en supposant que l'approbation de forêt soit bidirectionnelle. Sil'approbation de forêt est unidirectionnelle, tout utilisateur d'un domaine (quel

qu'il soit) de la forêt approuvée peut être authentifié par les ordinateurs de la forêtautorisée à approuver. Les approbations de forêt sont bien plus faciles à établir, àgérer et à administrer que des relations d'approbation distinctes entre chacun desdomaines des forêts. Les approbations de forêt se révèlent particulièrement utilesdans les scénarios impliquant une collaboration entre deux entreprises ou desfusions et acquisitions, ou au sein d'une même organisation disposant de plusieursforêts pour isoler les services et les données Active Directory.

Lorsque vous établissez une relation d'approbation de forêt, la quarantaine dedomaine, également appelée filtrage des SID, est activée par défaut. La quarantainede domaine est détaillée dans la section du même nom.

Vous pouvez préciser si l'approbation de forêt est unidirectionnelle, entrante ousortante, ou bidirectionnelle. Comme nous l'avons déjà dit, toute approbation deforêt est transitive, c'est-à-dire que tous les domaines d'une forêt autorisée àapprouver peuvent approuver tous les domaines d'une forêt approuvée.

Toutefois, les approbations de forêt ne sont pas elles-mêmes transitives. Parexemple, si la forêt tailspintoys.com approuve la forêt worldwideimporters.com etque la forêt worldwideimporters.com approuve la forêt northwindtraders.com, cesdeux relations d'approbation ne permettent pas à la forêt tailspintoys.comd'approuver la forêt northwindtraders.com. Pour que ces deux forêts s'approuventmutuellement, vous devez créer une approbation de forêt spécifique entre elles.

Pour qu'une approbation de forêt puisse être implémentée, plusieurs exigencesdoivent être satisfaites. Le niveau fonctionnel de la forêt doit être WindowsServer 2003 ou supérieur. Vous devez également disposer d'une infrastructureDNS spécifique.


• Pour plus d'informations sur les conditions DNS requises pour uneapprobation de forêt, consultez la pagehttp://go.microsoft.com/fwlink/?LinkId=168831.




Administration des relations d'approbation

Points clés

Lorsque le fonctionnement d'une relation d'approbation vous inquiète, vouspouvez valider la relation d'approbation entre deux domaines Windows

quelconques. Vous ne pouvez cependant pas valider une relation d'approbationétablie avec un domaine Kerberos v5. Pour valider une relation d'approbation,procédez comme suit :

1. Ouvrez Domaines et approbations Active Directory .

2. Dans l'arborescence de la console, cliquez du bouton droit sur le domainecontenant l'approbation à valider et choisissez Propriétés.


4. Sélectionnez l'approbation à valider.

5. Cliquez sur Propriétés.6. Cliquez sur Valider.




7. Choisissez l'une des opérations suivantes, puis cliquez sur OK :

• Cliquez sur Oui, valider l'approbation entrante. Entrez les informationsd'identification d'un compte membre du groupe Administrateurs dudomaine ou Administrateurs de l'entreprise du domaine réciproque.

• Cliquez sur Non, ne pas valider l'approbation entrante. Il estrecommandé de répéter cette procédure pour le domaine réciproque.

La commande suivante permet également de vérifier une approbation depuisl'invite de commande :

netdom trust NomDomaineAutoriséàApprouver /domain:NomDomaineApprouvé

/verify

Il peut également être nécessaire de supprimer une approbation crééemanuellement. Pour ce faire, procédez comme suit :

1. Ouvrez Domaines et approbations Active Directory .

2. Dans l'arborescence de la console, cliquez du bouton droit sur le domainecontenant l'approbation à valider et choisissez Propriétés.


4. Sélectionnez l'approbation à supprimer.

5. Cliquez sur Supprimer.

6. Choisissez l'une des opérations suivantes, puis cliquez sur OK :

• Cliquez sur Oui, supprimer l'approbation du domaine local et de l'autredomaine. Entrez les informations d'identification d'un compte membre dugroupe Administrateurs du domaine ou Administrateurs de l'entreprise dudomaine réciproque.

• Cliquez sur Non, supprimer l'approbation du domaine localuniquement . Il est recommandé de répéter cette procédure pour ledomaine réciproque.

Pour supprimer une approbation créée manuellement depuis l'invite decommande, servez-vous de la commande netdom.exe avec la syntaxe suivante :

netdom trust NomDomaineAutoriséàApprouver /domain:NomDomaineApprouvé/remove [/force] /UserD:User /PasswordD:*




Le paramètre UserD est un utilisateur dont le compte est membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise du domaineapprouvé. Le paramètre PasswordD:* oblige netdom.exe à vous demander le motde passe du compte. Le commutateur /force est obligatoire pour la suppression

d'une approbation de domaine Kerberos.

Remarque : le gestionnaire de domaine Windows, la commande netdom.exe et d'autresoutils de ligne de commande peuvent être utilisés pour gérer et tester les relationsd'approbation. Voir : http://go.microsoft.com/fwlink/?LinkId=168832 pour plusd'informations sur ces commandes.




Quarantaine de domaine

Points clés

Par défaut, la quarantaine de domaine, également appelé filtrage des SID, estactivée dans toutes les approbations externes et de forêt. Lorsqu'un utilisateur est

authentifié dans un domaine approuvé, il présente des données d'autorisationcomprenant les SID de son compte dans les groupes auxquels il appartient. Lesdonnées d'autorisation de l'utilisateur comprennent également les identificateursde sécurité issus des autres attributs de l'utilisateur et de ses groupes.

Certains des SID présentés par l'utilisateur depuis le domaine approuvé peuvent nepas avoir été créés dans le domaine approuvé. Par exemple, si l'utilisateur a étémigré d'un domaine vers un autre, un nouveau SID est attribué au compte migré.Le compte migré perd de ce fait l'accès aux ressources pour lesquelles desautorisations ont été attribuées au SID de l'ancien compte de l'utilisateur. Pour quel'utilisateur puisse continuer à accéder à ces ressources, l'administrateur qui

effectue la migration peut spécifier que l'attribut sIDHistory du compte migré del'utilisateur doit comprendre le SID de l'ancien compte. Lorsque l'utilisateur tentede se connecter à la ressource, le SID original de l'attribut sIDHistory se voitaccorder l'accès.




Dans un scénario de domaine approuvé, un administrateur peu scrupuleux peutéventuellement utiliser des informations d'identification d'administration dans cedomaine approuvé pour charger, dans l'attribut sIDHistory d'un utilisateur, desSID identiques à ceux des comptes avec privilèges dans votre domaine. Cet

utilisateur disposerait alors d'un niveau d'accès inapproprié aux ressources devotre domaine.

La quarantaine de domaine résout ce problème en autorisant le domaine autorisé àapprouver à filtrer les SID du domaine approuvé qui ne correspondent pas aux SIDprincipaux des entités de sécurité. Le SID du domaine d'origine étant inclus danschaque SID, lorsqu'un utilisateur d'un domaine approuvé présente la liste de sesSID et ceux de ses groupes, le filtrage des SID demande au domaine autorisé àapprouver d'ignorer tous les SID qui ne comprennent pas le SID du domaineapprouvé.

La quarantaine de domaine est activée par défaut pour toutes les approbations

sortantes visant des domaines et des forêts externes. Ne désactivez la quarantaine dedomaine que lorsque au moins l'une des conditions suivantes est vraie :

• Vous faites entièrement confiance aux administrateurs du domaine approuvé.

• Des utilisateurs ou des groupes ont été migrés vers le domaine approuvé avecleurs historiques de SID et vous souhaitez qu'ils soient autorisés à accéder auxressources du domaine autorisé à approuver en fonction de l'attributsIDHistory.

Pour désactiver la quarantaine de domaine, tapez la commande suivante :


/quarantine:no

Pour réactiver la quarantaine de domaine, tapez la commande suivante :


/quarantine:yes




Accès aux ressources pour les utilisateurs issus de domainesapprouvés

Points clés

Lorsque vous configurez une relation d'approbation qui permet à votre domained'en approuver un autre, vous introduisez la possibilité que des utilisateurs dudomaine approuvé obtiennent l'accès aux ressources de votre domaine. Lessections suivantes examinent les composants liés à la sécurité des ressources d'undomaine autorisé à approuver.

Utilisateurs authentifiés

Une relation d'approbation n'accorde en elle-même aucun accès aux ressources. Ilest toutefois probable que la création d'une relation d'approbation permetteimmédiatement aux utilisateurs du domaine approuvé d'accéder à certaines desressources de votre domaine. Cela est dû au fait que la plupart des ressources sontsécurisées par des listes de contrôle d'accès qui octroient des autorisations augroupe Utilisateurs authentifiés.




Appartenance aux groupes locaux de domaine

Comme vous l'avez appris au Module 4, la meilleure façon de gérer l'accès à uneressource consiste à accorder des autorisations à un groupe local du domaine. Vous pouvez alors imbriquer les utilisateurs et les groupes de votre domaine dans

le groupe local du domaine et, de ce fait, leur accorder un accès à la ressource. Lesgroupes de sécurité locaux du domaine peuvent également inclure des utilisateurset des groupes globaux de domaines approuvés. Par conséquent, la meilleure façond'attribuer des autorisations aux utilisateurs d'un domaine approuvé consiste àfaire de ces derniers, ou de leurs groupes globaux, des membres d'un groupe localde domaine de votre domaine.

Ajout d'identités approuvées aux listes de contrôle d'accès

Vous pouvez également ajouter directement les utilisateurs et les groupes globauxd'un domaine approuvé dans les listes de contrôle d'accès aux ressources d'undomaine autorisé à approuver. Cette approche n'est pas aussi simple que la

méthode précédente, c'est-à-dire l'utilisation d'un groupe local de domaine, maiselle est possible.

Transitivité

Lorsque vous créez une approbation de domaine Kerberos, cette approbation estnon transitive par défaut. Si vous la rendez transitive, vous pouvez éventuellementpermettre aux utilisateurs des domaines et des domaines Kerberos approuvés parle domaine Kerberos v5 d'accéder aux ressources de votre domaine. Il est doncrecommandé d'utiliser des approbations non transitives, sauf si des contraintesprofessionnelles vous obligent réellement à choisir une approbation de domaineKerberos transitive.

Authentification sélective

Lorsque vous créez une approbation externe ou une approbation de forêt, vouspouvez contrôler l'étendue de l'authentification des entités de sécurité approuvées.Deux modes d'authentification sont associés à une approbation externe ou deforêt :

• Authentification sélective

• Authentification à l'échelle du domaine (pour une approbation externe) ouauthentification à l'échelle de la forêt (pour une approbation de forêt)




Si vous choisissez l'authentification à l'échelle du domaine ou de la forêt, tous lesutilisateurs approuvés peuvent être authentifiés et accéder aux services de tous lesordinateurs du domaine autorisé à approuver. Les utilisateurs approuvés peuventpar conséquent être autorisés à accéder aux ressources du domaine autorisé à

approuver, où qu'elles se trouvent. Avec ce mode d'authentification, vous devezfaire suffisamment confiance aux procédures de sécurité de votre entreprise et auxadministrateurs qui implémentent ces procédures pour qu'un accès inapproprié nesoit pas accordé aux utilisateurs approuvés. N'oubliez pas, par exemple, que lesutilisateurs d'une forêt ou d'un domaine approuvé sont considérés comme desUtilisateurs authentifiés dans le domaine autorisé à approuver. Toutes lesressources auxquelles ce groupe peut accéder deviennent donc immédiatementaccessibles aux utilisateurs des domaines approuvés si vous choisissezl'authentification à l'échelle du domaine ou de la forêt.

Si, toutefois, vous choisissez l'authentification sélective, tous les utilisateurs dudomaine approuvé sont des identités approuvées. Ils ne sont cependant autorisés à

s'authentifier que pour les services des ordinateurs que vous avez désignés.Imaginons, par exemple, que vous ayez établi une approbation externe avec ledomaine d'une entreprise partenaire. Vous voulez vous assurer que seuls lesutilisateurs du groupe marketing de cette entreprise puissent accéder aux dossierspartagés stockés dans un seul de vos nombreux serveurs de fichiers. Vous pouvezconfigurer une authentification sélective pour la relation d'approbation, puisaccorder aux utilisateurs approuvés le droit de s'authentifier uniquement sur ceseul serveur de fichiers.




Pour configurer le mode d'authentification d'une nouvelle approbation sortante,servez-vous de la page Niveau d'authentification d'approbations sortantes del'Assistant Nouvelle approbation. Configurez le niveau d'authentification d'uneapprobation existante, ouvrez les propriétés du domaine autorisé à approuver dans

le composant logiciel enfichable Domaines et approbations Active Directory,sélectionnez la relation d'approbation, cliquez sur Propriétés, puis ouvrez l'onglet Authentification présenté dans l'illustration.

Une fois l'option Authentification sélective sélectionnée pour l'approbation, aucunutilisateur approuvé ne peut accéder aux ressources du domaine autorisé àapprouver, même si des autorisations leur ont été accordées.

Ces utilisateurs doivent également bénéficier de l'autorisation Autorisationd'authentifier sur l'objet ordinateur du domaine.




Pour accorder cette autorisation :

1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs ActiveDirectory et vérifiez que l'option Fonctionnalités avancées est activée dans lemenu Affichage.

2. Ouvrez les propriétés de l'ordinateur sur lequel les utilisateurs approuvésdoivent être autorisés à s'authentifier, c'est-à-dire l'ordinateur sur lequel lesutilisateurs approuvés ouvriront une session ou contenant les ressources pourlesquelles des autorisations leur ont été accordées.

3. Dans l'onglet Sécurité, ajoutez les utilisateurs approuvés ou un groupe auquelils appartiennent, puis cochez la case Autoriser de l'autorisation Autorisationd'authentifier, comme illustré dans la figure suivante.




Atelier pratique B : Administration d'unerelation d'approbation

Scénario

La société Contoso établit actuellement un partenariat avec la société TailspinToys. Une équipe de développeurs de produits de Tailspin Toys doit pouvoiraccéder à un dossier partagé du domaine Contoso. Vous devez donc configurervotre domaine pour répondre à cette exigence professionnelle. De plus,l'administrateur de domaine de Tailspin Toys, qui n'a pas beaucoup d'expérience,aura besoin de votre aide pour configurer le côté réciproque de la relationd'approbation.




Exercice 1 : Configuration du service DNS Avant de créer des relations d'approbation, vous devez être certain du bonfonctionnement du service DNS. Chaque domaine doit pouvoir résoudre les noms del'autre domaine. Au cours du Module 10, vous avez appris à configurer la résolutiondes noms. Plusieurs méthodes permettent de prendre en charge la résolution desnoms entre deux forêts. Dans cet exercice, vous allez créer une zone de stub dans ledomaine contoso.com pour le domaine tailspintoys.com et un redirecteurconditionnel dans le domaine tailspintoys.com pour résoudre contoso.com.



2. Configurer le service DNS dans le domaine contoso.com.

3. Configurer le service DNS dans le domaine tailspintoys.com.


1. Démarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateurPat.Coleman et le mot de passe Pa$$w0rd.

2. Démarrez 6238B-TSTDC01-A et ouvrez une session avec le nom d'utilisateurSara.Davis et le mot de passe Pa$$w0rd.

Tâche 2 : Configuration du service DNS dans le domaine contoso.com

1. Dans HQDC01, exécutez l'outil de gestion DNS en tant qu'administrateur,avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

2. Créez une zone de stub pour tailspintoys.com qui renvoie à l'adresse IPv410.0.0.31 pour le serveur maître.

Tâche 3 : Configuration du service DNS dans le domaine tailspintoys.com

1. Dans TSTDC01, exécutez l'outil Gestion du service DNS en tantqu'administrateur, avec le compte Sara.Davis_Admin et le mot de passePa$$w0rd.

2. Pour le domaine contoso.com, créez un redirecteur conditionnel qui renvoie àl'adresse IPv4 10.0.0.11.

Résultats : À la fin de cet exercice, vous aurez configuré la résolution des noms DNSentre les domaines contoso.com et tailspintoys.com.




Exercice 2 : Création d'une relation d'approbationDans cet exercice, vous allez créer une relation d'approbation pour que lesutilisateurs de la société Tailspin Toys puissent s'authentifier dans le domaine

Contoso.Les tâches principales de cet exercice sont les suivantes :

1. Identifier les domaines approuvé et autorisé à approuver.

2. Initier l'approbation dans le domaine approuvé.

3. Terminer l'approbation dans le domaine autorisé à approuver.

Tâche 1 : Identification des domaines approuvé et autorisé à

approuver

• Les utilisateurs du domaine tailspintoys.com doivent pouvoir accéder à undossier partagé du domaine contoso.com. Répondez aux questions suivantes :

• Quel est le domaine autorisé à approuver et quel est le domaineapprouvé ?

• Quel domaine dispose d'une approbation sortante et quel domainedispose d'une approbation entrante ?

Tâche 2 : Initiation de l'approbation dans le domaine approuvé

1. Dans HQDC01, exécutez Domaines et approbations Active Directory en tantqu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot depasse Pa$$w0rd.

2. Créez une relation d'approbation externe, unidirectionnelle et sortante avectailspintoys.com. Configurez cette approbation pour qu'elle utilisel'authentification à l'échelle du domaine et définissez son mot de passe initialsur Pa$$w0rd.




Tâche 3 : Fin de l'approbation dans le domaine autorisé à approuver

1. Dans TSTDC01, exécutez Domaines et approbations Active Directory entant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot

de passe Pa$$w0rd.2. Créez une relation d'approbation externe, unidirectionnelle et entrante avec

contoso.com. Configurez cette approbation pour qu'elle utilisel'authentification à l'échelle du domaine et définissez son mot de passe initialsur Pa$$w0rd.

Résultats : Au terme de cet exercice, vous aurez établi une relation d'approbationentre les domaines contoso.com et tailspintoys.com, contoso.com étant le domaineapprouvé.




Exercice 3 : Validation d'une relation d'approbationL'exercice précédent vous a donné la possibilité de confirmer la relationd'approbation. Vous pouvez également confirmer ou valider une relation

d'approbation existante. Dans cet exercice, vous allez valider l'approbation établieentre les domaines contoso.com et tailspintoys.com.

La tâche principale de cet exercice est la suivante :

• Valider une relation d'approbation.

Tâche 1 : Validation d'une relation d'approbation

• Dans HQDC01, utilisez Domaines et approbations Active Directory pourvalider l'approbation établie entre les domaines contoso.com ettailspintoys.com.

Résultats : Au terme de cet exercice, vous aurez validé l'approbation établie entre lesdomaines contoso.com et tailspintoys.com.




Exercice 4 : Octroi d'autorisations aux identités approuvéesDans cet exercice, vous allez autoriser l'équipe des produits de la société TailspinToys à accéder à un dossier partagé du domaine Contoso.

La tâche principale de cet exercice est la suivante :• Octroyer des autorisations aux groupes approuvés.

Tâche 1 : Octroi d'autorisations aux groupes approuvés

1. Dans TSTDC01, exécutez Utilisateurs et ordinateurs Active Directory entant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le motde passe Pa$$w0rd.

2. Dans l'unité d'organisation User Accounts, créez un compte d'utilisateur Pat Coleman avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.Configurez le mot de passe de sorte qu'il n'ait pas besoin d'être modifié à lapremière ouverture de session.

3. Dans le domaine tailspintoys.com, créez une unité d'organisation nomméeGroups.

4. Dans l'unité d'organisation Groups, créez un groupe de sécurité global nomméProduct Team.

5. Dans HQDC01, exécutez Utilisateurs et ordinateurs Active Directory en tantqu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot depasse Pa$$w0rd.

6. Dans l'unité d'organisation Groups\Role, créez un groupe de sécurité globalnommé Product Developers.

7. Dans l'unité d'organisation Groups\Access, créez un groupe local de domainenommé ACL_Product Information_Modify .

8. Créez un dossier nommé Product Information dans le lecteur C del'ordinateur HQDC01.

9. Attribuez au groupe ACL_Product Information_Modify l'autorisationModifier pour le dossier Product Information.




10. Ouvrez les propriétés du groupe ACL_ Product Information _Modify . Ajoutezles membres Contoso Product Developers et Tailspin Toys Product Team.

Lorsque vous effectuez cette opération, une boîte de dialogue Sécurité de Windows s'affiche. L'approbation étant unidirectionnelle, votre compte

d'utilisateur en tant qu'administrateur du domaine contoso.com(Pat.Coleman_Admin) n'est pas autorisé à lire l'annuaire du domainetailspintoys.com. Pour pouvoir lire son annuaire, vous devez disposer d'uncompte dans le domaine tailspintoys.com. Si l'approbation étaitbidirectionnelle, ce message ne s'afficherait pas. Votre compte d'utilisateurstandard dans le domaine tailspintoys.com sera utilisé pour vous fournir un Accès en lecture dans le service d'annuaire.

Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman. Dansle champ Mot de passe, tapez Pa$$w0rd.

11. Notez que les deux groupes globaux des deux domaines sont à présent

membres du groupe local du domaine contoso.com, autorisé à accéder audossier Product Information.

Résultats : Au terme de cet exercice, vous aurez accordé des autorisations d'accès auxressources du dossier Product Information du domaine Contoso aux groupes desdomaines Contoso et Tailspin Toys.




Exercice 5 : Implémentation d'une authentification sélectiveDans cet exercice, vous allez limiter la possibilité des utilisateurs du domainetailspintoys.com à s'authentifier auprès des ordinateurs du domaine contoso.com.

La tâche principale de cet exercice est la suivante :• Implémenter une authentification sélective.

Tâche 1 : Implémentation d'une authentification sélective

• Dans HQDC01, utilisez Domaines et approbations Active Directory pouractiver l'authentification sélective de l'approbation établie entre les domainescontoso.com et tailspintoys.com.

Lorsque l'authentification sélective est activée, les utilisateurs d'un domaineapprouvé ne peuvent pas s'authentifier auprès des ordinateurs du domaineautorisé à approuver, même s'ils disposent d'autorisations pour un dossier. Lesutilisateurs approuvés doivent également bénéficier de l'autorisation Autorisation d'authentifier sur l'ordinateur lui-même.

• Dans Utilisateurs et ordinateurs Active Directory , vérifiez que lesFonctionnalités avancées sont activées. Ouvrez ensuite les propriétés del'ordinateur HQDC01 et attribuez l' Autorisation d'authentifier au groupeTAILSPINTOYS\Product Team.

Lorsque vous effectuez cette opération, une boîte de dialogue Sécurité de Windows s'affiche. L'approbation étant unidirectionnelle, votre compted'utilisateur en tant qu'administrateur du domaine contoso.com(Pat.Coleman_Admin) n'est pas autorisé à lire l'annuaire du domainetailspintoys.com. Pour pouvoir lire son annuaire, vous devez disposer d'uncompte dans le domaine tailspintoys.com. Si l'approbation étaitbidirectionnelle, ce message ne s'afficherait pas. Votre compte d'utilisateurstandard dans le domaine tailspintoys.com sera utilisé pour vous fournir un Accès en lecture dans le service d'annuaire.

Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman. Dansle champ Mot de passe, tapez Pa$$w0rd.






Question : Vous avez accordé au groupe Research and Development de la société

Tailspin Toys, l'autorisation de Modifier le dossier Product Information del'ordinateur HQDC01. Toutefois, sur les dix utilisateurs du groupe, un seul(également membre du groupe Product Team) peut y accéder. Les autres nepeuvent pas accéder au dossier. Que devez-vous faire ?

Question : Un utilisateur de Contoso tente d'accéder à un dossier partagé dudomaine Tailspin Toys et reçoit une erreur Accès refusé. Que devez-vous faire pourque cet utilisateur puisse accéder à ce dossier ?

Documents

Active directory_Volume2