background preloader

AD

Facebook Twitter

Réplication Active Directory (AD) | Bidouille - IT. Bonjour à tous ! Un petit article concernant la réplication d’Active Directory entre les contrôleurs de domaine. En effet, il peut être utile de forcer la synchronisation AD. Il m’est arrivé d’avoir besoin lorsque j’ai installé Exchange 2010 avec deux contrôleurs de domaine. Lorsque vous installez Exchange et que vous disposez de deux controleurs de domaine, il est nécessaire soit d’attendre la réplication automatique soit la forcer. Avec l’implémentation de sites, il convient de distinguer deux types de réplications: La réplication intra-site correspondant à la mise à jour de la base d’annuaire Active Directory à l’intérieur d’un site c’est-à-dire entre contrôleurs de domaine biens connectés.La réplication inter-site correspondant quant à elle à la la mise à jour de la base d’annuaire entre sites c’est-à-dire entre groupes de contrôleurs de domaine séparés par une liaison lente.

Voici une image très explicative trouvée sur le site : repadmin /syncall /AeD. Vérifier l’état de son domaine Active Directory | Philippe BARTH. Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l'état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support. « DCDiag » réalise par défaut le diagnostic du contrôleur de domaine sur lequel il est exécuté. Il est possible de vérifier l'ensemble des DCs d'un site avec « /a » ou de la forêt avec « /e ». Il est possible de n'enregistrer que les erreurs avec « /q » ou de générer un rapport avec « /f:fichier.txt ». L'option « /i » permet d'ignorer les avertissements sans gravité. Il est recommandé de faire un test DNS « /test : DNS » en plus. DCDiag /a /i /f:c:\temp\%Computername%Full.txt DCDiag /a /i /q /f:c:\temp\%Computername%Erreur.txt DCDiag /test:DNS /f:c:\temp\%Computername%DNS.txt Dans le rapport créé par « dcdiag », chaque commande apparaît avec un résultat.

Repadmin /showrepl. Securing Active Directory Administrative Groups and Accounts. On This Page Introduction Before You Begin Creating a New User Account with Domain Admins Credentials Protecting the Administrator Account Securing the Guest Account Strengthening Security on Service Administration Accounts and Groups Establishing Best Practices for Use of Administrative Accounts and Groups Related Information Introduction An important part of securing your network is managing the users and groups that have administrative access to the Active Directory directory service. Malicious individuals who obtain administrative access to Active Directory domain controllers can breach the security of your network.

The default Microsoft Windows Server 2003 security settings are sufficient to secure Active Directory accounts against many types of threats. This guide contains step-by-step instructions that show you how to: Use the best practices described in this guide as you manage your network. Before You Begin Understanding Administrative Accounts and Groups Requirements Requirements.

Server 2000 / 2003

Server 2008. ADDS - Server 2012. Schéma. Utilisateurs et groupes. FSMO. GPO. Ntdsutil. Csvde. Configuration de ports requise pour Active Directory et les services de domaine Active Directory. Ce guide explique les configurations de ports requises pour les divers composants d’Active Directory® et des services de domaine Active Directory (AD DS). Plage de ports dynamiques par défaut Dans un domaine en mode mixte qui se compose de contrôleurs de domaine Windows Server® 2003 ou Microsoft® Windows® 2000 Server ou d’ordinateurs clients de versions antérieures, la plage de ports dynamiques par défaut va de 1025 à 5000. Conformément aux recommandations de l’IANA (Internet Assigned Numbers Authority), Windows Server 2008 et Windows Vista® ont étendu la plage de ports clients dynamiques pour les connexions sortantes. Le nouveau port de début par défaut est 49152 et le nouveau port de fin par défaut est 65535. Restriction du trafic RPC sur un port spécifique Comme vous venez de le lire dans la section précédente (voir « Plage de ports dynamiques par défaut »), le trafic RPC passe par une plage de ports dynamiques.

Systèmes d’exploitation Réplication Approbations Windows NT Catalogue global. Création de site et de sous-réseau AD | Philippe BARTH. Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory. Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.

Les avantages liés à la gestion des sites : - Gestion et optimisation de la réplication entre les contrôleurs de domaine des différents sites (réplication intersites) ; - Optimisation de l’authentification des clients en privilégiant les contrôleurs de domaine du même site ; - Application de paramètre spécifique par site avec les GPO ; - Certaines applications comme Exchange utilisent la notion de site ( Prenons par exemple le schéma ci-dessous basé sur 3 sites. -en bleue : les liens de réplication intrasite ; La connaissance, c'est partager le savoir qui nous fait grandir. : Intégration à Active Directory. Exchange 2013, comme tous ses prédécesseurs depuis Exchange 2000, s’appuie sur Active Directory. Il repose sur ce dernier, non seulement pour la récupération d’informations essentielles au fonctionnement de la messagerie, comme les comptes d’utilisateurs, mais également pour y stocker des données propres à Exchange.

Compte tenu de cette interaction forte, il est essentiel de bien comprendre les mécanismes de fonctionnement d’Active Directory ainsi que les interactions entre Active Directory et Exchange. Nous allons voir précisément comment Exchange 2013 utilise les différents composants de l’annuaire afin de fournir les services de travail collaboratif. 1. Définition d’Active Directory Active Directory permet de centraliser, de structurer, d’organiser et de contrôler les ressources réseau dans les environnements Windows.

Active Directory s’appuie sur le protocole LDAP (Lightweight Directory Access Protocol) pour l’interrogation des bases de données Active Directory. 2. 3. 4. A. B. 5. 6. Sécurisation des groupes d'administration et des comptes Active Directory. Dernière mise à jour le 08 juin 2004 Sur cette page Introduction Avant de commencer Création d'un nouveau compte utilisateur avec des droits Admins du domaine Protection du compte Administrateur Sécurisation du compte Invité Renforcement de la sécurité des comptes et des groupes d'administration de services Mise en place de meilleures pratiques d'utilisation des comptes et des groupes d'administration Informations complémentaires Introduction Une partie importante de la sécurisation du réseau consiste à gérer les utilisateurs et les groupes qui ont un accès administratif au service d'annuaire Active Directory® Les personnes mal intentionnées qui obtiennent les droits d'accès administratifs aux contrôleurs de domaine Active Directory peuvent ouvrir une brèche dans la sécurité de votre réseau.

Les paramètres de sécurité par défaut de Microsoft® Windows Server™ 2003 suffisent à sécuriser les comptes Active Directory contre un grand nombre de menaces. Avant de commencer Configuration requise. Supprimer un contrôleur de domaine hors service. I. Présentation Lorsqu’on souhaite retirer le rôle de contrôleur de domaine à un serveur Windows, on utilise généralement la commande “dcpromo” pour qu’il redevienne un simple serveur membre. Sauf que si ce serveur est hors service, corrompu ou à une panne d’Active Directory il peut être intéressant d’être en mesure de le supprimer autrement.

Plantons le décor : Je dispose de deux contrôleurs de domaine, l’un nommé JUPITER, l’autre SATURNE, tous deux fonctionnant sur Windows Server 2012. II. Si dans votre cas le serveur qui est hors service dispose d’un ou de plusieurs rôles FSMO, vous allez devoir effectuer un seizing des rôles FSMO depuis le serveur sur lequel vous souhaitez les transférer pour qu’il les récupère de force. Accédez à votre annuaire Active Directory grâce à la console “Utilisateurs et ordinateurs Active Directory“. Faites clic droit sur le DC à supprimer puis cliquez sur “Supprimer” dans le menu contextuel.

Cliquez sur “Oui” puis un second message apparaîtra. III. IV. Suppression d'un controleur de domaine manuellement. Les services Active Directory de Windows Server. I. Présentation Depuis Windows Server 2008, il est possible de gérer l’annuaire Active Directory via un service, cela permet d’arrêter et de démarrer la fonctionnalité sur un contrôleur de domaine comme un quelconque service Windows. II. Les services L’Active Directory est représenté par deux services : – Services de domaine Active Directory : Présent depuis Windows Server 2008, il permet d’arrêter ou de démarrer l’annuaire Active Directory sur un contrôleur de domaine.

. – Serveur de rôle DS : Présent depuis Windows Server 2012, il est utile lors de l’installation d’un nouveau contrôleur de domaine, de l’ajout d’un contrôleur de domaine, d’un domaine ou encore d’une forêt. III. Ce service est intéressant et important, car il vous permet plusieurs choses : – Redémarrer uniquement le service Active Directory lorsqu’une mise à jour Windows l’impactant est installée, cela évitera de redémarrer le serveur complètement. IV. . – Ne pas arrêter le service trop longtemps. Active Directory Metadata Cleanup - MWeber's Blog. Sometimes it can/will happen that a correct removal from a Domain Controller isn’t possible because of a hardware crash, you have to force the removal of a DC or the previous admin have left some “garbage” for you. So you have to do a metadata cleanup, otherwise all other DCs will try to replicate with that machine, as they are “thinking” this Domain Controller still exists, which fills also the event viewer with not wanted error messages.

Additional the support tools dcdiag and repadmin or replmon will report problems. The metadata cleanup can be done with NTDSUTIL for the AD database part according to: How to remove data in Active Directory after an unsuccessful domain controller demotion The above article applies to all Windows versions starting with Windows 2000 Server up to Windows Server 2008 R2.

There can also be the situation that the FSMO roles must be seized as the not longer existing DC was the owner of them: To remove a RWDC with AD UC: To remove a RODC with AD UC: Related links: Migration Active Directory : retour d’expérience | ::: E-NOVATIC - Le Blog ::: Voici un billet concernant mon retour d’expérience à propos de migration Active Directory et surtout l’utilisation de l’outil de Microsoft ADMT. Je vais me concentrer sur les principaux points d’attention, les pièges, etc… Vous y trouverez également des recommandations pour migrer vos serveurs de fichiers, d’impressions, etc… Certains scripts seront utiles car ils concernant les migrations inter forêt et non intra domaine ou intra forêt, scénario plus simple. Voici la liste des principales recommandations d’une migration Active Directory: Désactiver le SID Filtering Voici la syntaxe pour désactiver cette fonction Pour tester: l’attribut attr: QUARANTINED apparait si le SID Filtering est actif Installation du service PES Sur le domaine cible, il convient de créer la clé permettant l’export des mot de passe avec la syntaxe suivante: Cette clé générée vous servira pour le setup de PES.

Changer la liste des domaines par défaut Méthode 1 – déploiement VBS Méthode 2 – déploiement GPO Autre erreur. Méthode de migration d’Active Directory sur un nouveau serveur matériel. 7ème étape Cette étape consiste à vérifier tout ce qui a été fait jusqu'à maintenant. L’utilitaire Replmon va être utilisé pour effectuer ces vérifications. Cet utilitaire est disponible dans le ressource kit livré sur le cd de Windows 2000 Server, dans le répertoire « D:\SUPPORT\TOOLS ». Installez cet utilitaire. Après la fin de l’installation, vous devez fermer et rouvrir la session, afin que Windows mette à jour le PATH. Ensuite, cliquer sur démarrer, exécuter, puis tapez Replmon et validez. L’utilitaire Replmon s’éxecute. Sélectionnez le serveur que vous désirez monitorer.

Vous obtiendrez cet affichage : Par le biais d'un clic droit, propriétés sur le nom du serveur, vous pourrez obtenir des informations sur le serveur sélectionné. Les deux onglets les plus intéressants sont « FSMO Roles » et « Server Flags ». Le premier, FSMO Roles, vous informe sur les possesseurs des rôles FSMO. Si tous ces points sont respectés, vous pouvez passez à l’étape suivante. [UPDATE] Bien configurer son Active Directory | ::: E-NOVATIC - Le Blog ::: Je reprends un de mes premiers billets, qui d’ailleurs est le plus consulté du blog ! J’ai décidé de le refaire complétement, avec des explications plus concrètes, des captures d’écrans, des conseils et des astuces afin que vous puissiez mettre en place un réseau Microsoft qui fonctionnera de façon la plus optimale possible !

J’ai rédigé ce billet sur un Windows Server 2008 (applicable aux autres versions bien sûr !) , et j’espère qu’il vous apportera beaucoup !!! N’hésitez pas à vous rendre sur le forum si vous rencontrez des difficultés, ou si vous avez des questions ! (Guide téléchargeable dans ce billet !) Définir un plan d’adressage Il est important de définir un plan d’adressage IP. Pour les serveurs: 192.168.1.1 => 192.168.1.10Pour vos routeur(s)/switch(s)/éléments actifs : 192.168.1.20 => 192.168.1.30Pour vos imprimante(s): 192.168.1.40 => 192.168.1.50Pour vos postes de travail: 192.168.1.100 => 192.168.1.200etc…. Recommandation: Réseaux TCP/IP – Notions des services essentiels.

How to Add domain accounts to Local Administrators Group using GPO - Richard's myITforum Blog. There are a lot of questions in newsgroups, forums etc. about how to use Restricted Groups in the right way so I wanted to post a how-to for people to read. Finding Restricted Groups is easy but it only works in a domain with Active Directory so trying to find it within your local GPO on your computer isn’t possible. At first you right click on Restricted Groups and select “Add Group”. What you get is the default window to choose a group, either from your domain or maybe from your local computer depending on what configuration you want.

Now you have two different choices of what you want to do with the group you selected. Either you use “Members of this group” or “This group is a member of”. Members of this group This is the choice you make when you want to add users to a group. As an example can be this picture where you have both the local administrator account and also the built-in Authenticated Users group. This group is a member of. Active Directory - Outils. Stratégie de groupe Nom Anglais : Group Policy Fichier : gpmc.msc Ne pas confondre avec les stratégies locales : gpedit.msc La mise en œuvre de stratégies de groupe est une tâche liée à la gestion des utilisateurs, des ordinateurs et des groupes dans Active Directory. Les objets Stratégie de groupe, qui contiennent des paramètres de stratégie, contrôlent le paramétrage des utilisateurs et des ordinateurs dans les sites, les domaines et les unités d'organisation. Pour créer ou modifier des objets Stratégie de groupe, vous devez utilisez le composant logiciel enfichable Stratégie de groupe, auquel vous accédez par le complément Utilisateurs et ordinateurs Active Directory ou Sites et services Active Directory (selon la tâche que vous voulez exécuter) .