Les limites d’Active Directory

Nombre maximum de GPO pouvant s’appliquer sur un objet (user/ordinateur): 999


Nombre Maximum de Servers DNS dans une zone intégrée à l’AD:

• 850 (Windows 2000)
• 1300 (Windows 2003)

Nombre maximum de DC dans un domaine: 1200

Nombre maximum de membres dans un groupe:

• 5000 (Windows 2000)
• Illimité sous Windows 2003 et apres

Nombre maximum de Servers DHCP dans une forêt:

• 850 (Windows 2000 SP1 or RTM),
• Illimité sous (Windows 2000 SP2 et +, Windows 2003, Windows 2008)

Nombre maximum de suffixes UPN qui peuvent être définis via l’interface : 850 (Possible d’en mettre plus via scripts ADSI)

Créez une infrastructure DNS dynamique au moyen d’un fichier batch

Pour mettre en place un AD (Active Directory), nous avons maintenant besoin d’une infrastructure DDNS (dynamic DNS).

Dans mon exemple, je crée une forêt à un seul domaine appelée ecm.era qui contient deux DC : UpDC..ecm.era à 10.160.1.2 et DownDC.ecm.era à 10.70.7.2. Les subnets 10.160 et 10.70 utilisent tous deux un masque subnet 255.255.255.0 (classe c) et je veux que chaque machine soit à la fois un DC et un serveur DNS. Les deux systèmes bénéficient de copies récemment installées de Windows 2003 ou de Win2K Server, ainsi que du serveur DNS de Microsoft, livré avec les deux OS. La pile IP de chaque système est déjà constituée à l’aide des fichiers batch des articles précédents et le suffixe DNS de chaque système est défini comme bigfirm.biz. L’objectif de mon dernier fichier batch est d’installer DNS sur chaque système. UpDC sera le serveur DNS primaire pour ecm.era et pour une zone de consultation inversée 10. 160.1.x, et ce sera le serveur DNS secondaire pour une zone de consultation inversée 10.70.7.x. DownDC sera un serveur DNS secondaire pour ecm.era et pour la zone de consultation inversée 10.160.1.x, et ce sera le serveur DNS primaire pour la zone de consultation inversée 10.70.70.x.

• 
  
  dnscmd
  
  Mon outil primaire pour la configuration DNS ligne de commande est Dnscmd qui est le dossier Windows 2003 Support Tools et le Microsoft Windows 2000 Resource Kit. Je dois installer cet outil sur UptownDC et DowntownDC. Dnscmd est puissant mais a une syntaxe plutôt compliquée, aussi j’espère que les exemples de ces fichiers batch vous seront utiles.Premièrement, pour créer la zone ecm.era, utilisez la commande
  
  dnscmd localhost /zoneadd ecm.era /primary /file ecm.era.dns
  
  
  
  Le paramètre localhost indique à Dnscmd le serveur DNS auquel il doit appliquer la commande. Comme j’utilise ce fichier batch directement sur UpDC, localhost suf f i t . Cependant, la possibilité d’action à distance de l’outil signifie que je pourrais simplement installer Dnscmd sur une boîte Windows XP et exécuter le fichier batch pour mettre en place UpDC et DownDC – en supposant que je puisse m’y connecter et que j’aie établi les références appropriées. Le paramètre /zoneadd crée une nouvelle zone sur localhost ; dans ce cas, le nom de la zone est ecm.era. Le paramètre /primary fait de la zone une zone primaire. L’objectif du paramètre /file bigfirm. dns sera clair pour quiconque a déjà utilisé le wizard pour établir une zone DNS. Microsoft DNS a besoin d’un fichier dans lequel stocker l’information de la zone. ecm.era résidera dans \windows\system32\dns\ecm.era (dans Windows 2003) ou \winnt \system32\dns\ecm.era (dans Win2K).
  
  
  
  

•  premier script 

En lieu et place du paramètre /primary, vous pouvez utiliser le paramètre /secondary pour créer une zone DNS secondaire ou le paramètre /DsPrimary pour créer des zones intégrées à l’AD. Si vous me demandez pourquoi je ne crée pas une zone intégrée à l’AD, souvenez- vous qu’AD n’est pas encore opérationnel dans mon cas. Je pourrai passer de primary à intégré à l’AD plus tard, en utilisant la commande

dnscmd localhost /zoneresettype /DsPrimary

 La commande dnscmd /zoneadd parachève presque la préparation initiale de la zone, mais il reste encore une tâche à accomplir : valider les mises à jour dynamiques. Pour cela, utilisez la commande
dnscmd localhost /config ecm.era /AllowUpdate 1

 Ensuite, je veux dire à la zone bigfirm. biz qu’elle aura deux serveurs DNS – Name Servers (NS) en jargon DNS – appelés uodc et downdc. Microsoft DNS installe automatiquement un enregistrement NS pour le serveur que vous utilisez comme serveur DNS primaire d’une zone, donc uodc est couvert ; mais je dois ajouter l’enregistrement DNS pour downdc. Pour cela, j’insèrerai en principe un enregistrement NS dans la zone, de la manière suivante : @ ns downdc.ecm.era

Dans cet enregistrement, le symbole arobas (@) signifie que cet enregistrement fait référence à la zone courante, ns indique que vous ajoutez un NS à cette zone et downdc.bigfirm. biz est le nom de ce NS. Toutefois, le seul fait de dire à la zone ecm.era que j’ai un NS appelé downdc.bigfirm. biz ne termine pas la tâche. Le serveur DNS hébergeant la zone a aussi besoin de l’adresse IP de Downtown- DC. C’est pourquoi je vais aussi inclure un enregistrement hôte pour dire à la zone que downdc.ecm.era a une adresse IP de 10.0.02 : downdc A 10.70.7.2

Vous pouvez aussi utiliser la commande Dnscmd /recordadd pour ordonner au fichier batch d’insérer les enregistrements NS et hôte :

dnscmd localhost /recordadd ecm.era @ NS downdc.ecm.era dnscmd localhost /recordadd ecm.era downdc A 10.70.7.2 

•  Serveur de nom 
  

Comme auparavant, la commande commence par nommer l’hôte (localhost, dans cet exemple) auquel s’appliquera l’opération. Ensuite, l’option /recordadd a besoin de la zone à laquelle s’ajoutera l’enregistrement, suivie par l’enregistrement particulier à ajouter.

Vous vous demandez peut-être pourquoi je me soucie des enregistrements NS. Si vous avez déjà eu l’occasion de bricoler avec un serveur DNS basé sur Microsoft, vous savez probablement qu’il n’est pas vraiment nécessaire de nommer les serveurs DNS secondaires d’une zone donnée. Je vois souvent des zones DNS basées sur Microsoft avec juste un enregistrement NS pour le serveur primaire. Pourquoi se soucier des enregistrements pour votre fichier batch ? Premièrement, par souci de rigueur et de correction, vous devriez vraiment nommer les serveurs de toutes les zones. Deuxièmement, il vaut mieux nommer chaque NS afin de pouvoir sécuriser votre zone.
Pour nommer le serveur DNS secondaire d’une zone dans Win2K, démarrez le snap-in Microsoft Management Console (MMC) DNS, ouvrez le dossier Forward Lookups puis trouvez la zone et faites un clic droit dessus. Choisissez Properties et sélectionnez l’onglet Zone Transfer, sur lequel vous verrez la case Allow zone transfers et plusieurs options. L’option par défaut est To any server. Elle permet essentiellement à quiconque d’établir un serveur DNS et de lui dire qu’il est un serveur DNS secondaire pour une zone donnée sur votre serveur DNS – et ce serveur DNS secondaire indésirable pourrait ensuite demander à votre serveur DNS de transférer tout ce qu’il sait à propos de votre zone DNS. Les autres options incluent Only to servers listed on the Name Servers tab et Only to the following servers, qui vous permettent de fournir une liste de serveurs.


Dans Windows 2003, Microsoft a changé les valeurs par défaut du serveur DNS. Si vous créez une zone avec un serveur DNS basé sur Windows 2003, vous verrez que - par défaut – le serveur transfèrera l’information d’une zone DNS uniquement vers un serveur qui a un enregistrement NS. Donc, si vous utilisez Windows 2003, vous vous réjouirez d’avoir pris le soin de nommer des serveurs DNS secondaires. Et, si vous utilisez Win2K, vous pourriez songer à visiter l’onglet Zone Transfers pour appliquer un peu plus de sécurité sur vos zones existantes.

•     Zone inverse

Après avoir pris soin de ecm.era, vous pouvez établir la zone de consultation inversée pour 10.160.1.x. Comme auparavant, vous devez utiliser la commande Dnscmd /zoneadd pour créer la zone, la commande Dnscmd /config pour la rendre dynamique et la commande Dnscmd /recordadd pour ajouter downdc comme un serveur DNS secondaire pour la zone :

dnscmd localhost /zoneadd 1.160.10 .in-addr.arpa /primary /file 192.dns dnscmd localhost /config 1.160.10 .in-addr.arpa /AllowUpdate 1 dnscmd localhost /recorddadd 1.160.10 .in-addr.arpa @ NS downdc.ecm.era

Le seul élément qui demande une explication est le nom de la nouvelle zone – 1.160.10.in-addr.arpa. Les zones de consultation inversée ressemblent au numéro de réseau d’un subnet (10.160.0, par exemple) mais elles sont inversées, avec le suffixe inaddr. arpa ajouté. Quand vous inversez 10.160.1, vous obtenez 1.160.10 ; quand vous ajoutez in-addr.arpa, vous avez le nom de la zone.


Bien que je n’aie pas encore créé la zone de consultation inversée pour le subnet 10.0.0 (parce que je n’ai pas encore mis en place downdc, son futur serveur DNS primaire), je veux que uodc soit un serveur DNS secondaire pour la zone de consultation inversée de 10.0.0, donc je pourrais aussi bien créer la zone secondaire pour 10.0.0. Pour cela, je peux utiliser la commande Dnscmd /zoneadd mais avec une syntaxe quelque peu différente. Je dois encore spécifier la zone, le nom de la zone et le nom de son fichier de zone. Mais les zones secondaires ont besoin d’une information supplémentaire : qui est le maître ? Autrement dit, vers quel serveur le serveur DNS secondaire devrait se tourner pour mettre à jour ses données à propos de cette zone ? La commande se présente ainsi

dnscmd localhost /zoneadd 0.0.10 .in-addr.arpa /secondary 10.70.7.2

Le nom de la zone pour le réseau 10.0.0 est le quads inversé avec le suffixe in-addr.arpa. L’option /secondary remplace l’option /primary que l’on a vue dans les commandes Dnscmd /zoneadd précédentes, et notons qu’une adresse IP suit l’option /secondary. C’est l’adresse IP du serveur que ce serveur DNS secondaire devrait regarder pour trouver la toute dernière information sur la zone 7.70.10.in-addr.arpa.


L’ajout d’un Ipconfig /registerdns à la fin de ce type de fichier batch assure que le serveur DNS enregistre l’information la plus à jour sur sa zone. Le résultat est le fichier batch que montre le listing 1.

•  Pour en finir

Finissons en créant un fichier batch similaire pour downdc – une tâche plus facile. Il vous suffit de faire de downdc un serveur secondaire pour ecm.era et 1.160.10.inaddr. arpa, puis de créer la zone 7.70.10.in-addr.arpa et de la rendre dynamique. Le résultat est le fichier batch du listing 2. Ses trois premières commandes créent les zones secondaires et primaires. La quatrième définit comme dynamique la zone de consultation inversée pour 10.0.0. La cinquième commande ajoute uodc comme un serveur DNS secondaire pour cette zone. Enfin, le fichier batch dit au serveur DNS de s’enregistrer lui-même.


Dnscms a de nombreuses options.

Creation d'un alias serveur

Ceci peut être utile, par exemple si vous voulez migrer des partages sur une machine différente et plutôt que de changer tous les clients vers la nouvelle machine, vous pouvez instantanément définir que la nouvelle machine va répondre à l'ancien nom. Pour définir de nouveaux noms procédez comme suit :

1. Lancer l'éditeur du registre sur votre nouveau serveur (regedt32.exe)
2. Aller à la clef   HKEY_Local_Machine\System\CurrentControlSet\Services\LanmanServer\Parameters
3. Dans le menu Edition sélectionner "Ajouter une valeur" DWORD
4. Donnez lui ce nom "DisableStrictNameChecking" et la valeur 1
5. Fermer l'éditeur du registre
6. Redémarrer la machine

Attention, la création de la clé de registre DisableStrictNameChecking fait fonctionner l'accès au netshare via un alias. Mais cela ne fonctionne pas sur le serveur lui-même.

Roles FSMO

a.    Rôle FSMO Contrôleur de schéma
Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d'effectuer les mises à jour vers le schéma d'annuaire (c'est-à-dire, du contexte de nommage du schéma ou LDAP://cn=schema,cn=configuration,dc=). Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l'annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l'annuaire. Il existe un seul contrôleur de schéma par annuaire.
 
b.    Rôle FSMO Maître d'attribution de noms de domaine
Le détenteur du rôle FSMO Maître d'attribution de noms de domaine est le contrôleur de domaine chargé d'apporter des modifications à l'espace de noms des domaines de niveau forêt de l'annuaire (c'est-à-dire le contexte de nommage Partitions\Configuration ou LDAP://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l'annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes.

c.    Rôle FSMO Maître RID
Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d'un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d'un déplacement d'objet.
Lorsqu'un contrôleur de domaine crée un objet entité de sécurité tel qu'un utilisateur ou un groupe, il joint à l'objet un ID de sécurité (SID) unique. Ce SID est constitué d'un SID de domaine (le même pour tous les SID créés dans un domaine) et d'un ID relatif (RID), unique pour chaque SID d'entité de sécurité créé dans un domaine.

Chaque contrôleur de domaine Windows 200X d'un domaine se voit allouer un pool de RID qu'il peut attribuer aux entités de sécurité qu'il crée. Lorsque le pool de RID d'un contrôleur de domaine tombe en deçà d'un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine d'un annuaire.
 
d.    Rôle FSMO maître d' Infrastructure
Lorsqu'un objet d'un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l'objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d'un objet dans une référence d'objet inter-domaine.
REMARQUE : Le rôle Maître d'infrastructure doit être assuré par un contrôleur de domaine qui n'est pas un serveur de catalogues global. Si le rôle Maître d'infrastructure est exécuté sur un serveur de catalogues global, il arrêtera la mise à jour des informations sur les objets, car il ne dispose pas de références aux objets qu'il ne contient pas. Cela s'explique par le fait qu'un serveur de catalogues global comprend un réplica partiel de chaque objet de la forêt. En conséquence, les références d'objets inter-domaines de ce domaine ne seront pas mises à jour et un avertissement dans ce sens sera consigné dans le journal des événements de ce contrôleur de domaine.

Si tous les contrôleurs de domaine d'un domaine hébergent également le catalogue global, tous contiennent les données actuelles. Peu importe donc quel contrôleur de domaine contient le rôle de maître d'infrastructure.

Rôle FSMO Émulateur PDC

L'émulateur PDC est nécessaire pour synchroniser l'heure dans une entreprise. Windows 2000 inclut l'outil de service de temps W32Time (Windows Time) requis par le protocole d'authentification Kerberos. Tous les ordinateurs Windows 2000 d'une entreprise utilisent une heure commune. L'objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun.

L'émulateur PDC d'un domaine fait autorité pour le domaine. L'émulateur PDC situé à la racine de la forêt acquiert l'autorité pour l'entreprise et doit être configuré de façon à percevoir l'heure d'une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.

Dans un domaine Windows 200X, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes :
i.    Les modifications de mot de passe exécutées par d'autres contrôleurs de domaine du domaine sont répliquées de préférence sur l'émulateur PDC.
ii.    Les échecs d'authentification qui se produisent en raison d'un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l'émulateur PDC avant que l'échec ne soit signalé à l'utilisateur dans un message.
iii.    Le verrouillage de compte est traité sur l'émulateur PDC.
iv.    L'émulateur PDC exécute toutes les fonctionnalités qu'un contrôleur de domaine principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients Windows NT 4.0 ou antérieurs.

Cette partie du rôle d'émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 200X. L'émulateur PDC continue d'exécuter les autres fonctions décrites dans un environnement Windows 2000.

Les informations suivantes décrivent les modifications survenant lors du processus de mise à niveau :
i.    Les clients Windows 200X / XP (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n'effectuent pas les écritures d'annuaire (comme les changements de mots de passe) de préférence sur le contrôleur de domaine qui s'est autoproclamé contrôleur principal de domaine ; ils utilisent n'importe quel contrôleur du domaine.
ii.    Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 200X, l'émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur.
iii.    Les clients Windows 200X / XP (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l'annuaire Active Directory pour localiser des ressources réseau. Ils n'ont pas besoin du service Explorateur d'ordinateur de Windows NT.

Synchronisation Horaire - Net time

1 ENTREES DE REGISTRE POUR LE SERVICE W32TIME
1.1 Présentation
Le service W32Time est un service intégré à Windows 200X. Il assure la synchronisation des paramètres de date et d'heure de tous les ordinateurs d'une entreprise.
Ce document répertorie les entrées de Registre qui contrôlent les aspects de ce service. Si vous modifiez la configuration du service W32Time, vous devez l'arrêter, puis le redémarrer pour que les modifications soient prises en compte.
1.2 Valeur du registre
    • AvoidTimeSyncOnWan : REG_DWORD (facultatif)
        Empêche l'ordinateur de se synchroniser avec un ordinateur d'un autre site.
        0 = le site de la source de temps est ignoré [valeur par défaut]
        1 = l'ordinateur ne se synchronise pas avec une source de temps d'un autre site
    • GetDcBackoffMaxTimes : REG_DWORD (facultatif)
        Nombre maximum de fois que l'intervalle de recul est doublé lorsque plusieurs tentatives successives de recherche d'un contrôleur de domaine échouent. Un événement est consigné à chaque attente de durée maximale.
        0 = l'attente entre plusieurs tentatives successives est toujours minimale et aucun événement n'est consigné.
        7 = [valeur par défaut]
    • GetDcBackoffMinutes : REG_DWORD (facultatif)
        Nombre initial de minutes à attendre avant de rechercher un contrôleur de domaine en cas d'échec de la dernière tentative.
        15 = [valeur par défaut]
    • LocalNTP : REG_DWORD
        Permet de démarrer le serveur SNTP.
        0 = ne démarre pas le serveur SNTP sauf si l'ordinateur est un contrôleur de domaine [valeur par défaut]
        1 = démarre toujours le serveur SNTP
    • NtpServer : REG_SZ (facultatif)
        NtpServer : REG_SZ (facultatif) Permet de configurer manuellement la source de temps. Utilisez le nom DNS ou l'adresse IP du serveur NTP qui sert de référence lors de la synchronisation. Vous pouvez modifier cette valeur à partir de la ligne de commande à l'aide de la commande net time. La valeur n'est pas spécifiée par défaut.
    • Period : REG_DWORD ou REG_SZ
        Permet de contrôler la fréquence à laquelle le service de temps procède à une synchronisation. Si vous spécifiez une valeur de chaîne, vous devez utiliser l'une des valeurs répertoriées ci-dessous. Si vous spécifiez la valeur de chaîne sous forme d'un nombre (65535 par exemple), créez une entrée REG_DWORD. Si vous spécifiez la valeur de chaîne sous forme d'un mot (Bidaily par exemple), créez une entrée REG_SZ.
        0 = une fois par jour
        65535, "BiDaily" = une fois tous les 2 jours
        65534, "Tridaily" = une fois tous les 3 jours
        65533, "Weekly" = une fois par semaine (7 jours)
        65532, "SpecialSkew" = une fois toutes les 45 minutes jusqu'à obtenir 3 synchronisations, puis une fois toutes les 8 heures (3 par jour) [valeur par défaut]
        65531, "DailySpecialSkew" = une fois toutes les 45 minutes jusqu'à obtenir une synchronisation, puis une fois par jour
        freq = fréquence fois par jour
    • ReliableTimeSource : REG_DWORD (facultatif)
        Permet d'indiquer que le temps de cet ordinateur est fiable.
        0 = n'indique pas que cet ordinateur est une source de temps fiable [valeur par défaut]
        1 = indique que cet ordinateur est une source de temps fiable (utile sur un contrôleur de domaine)
    • Type : REG_SZ
        Permet de contrôler la manière dont l'ordinateur se synchronise.
        Nt5DS = se synchronise avec la hiérarchie du domaine [valeur par défaut]
        NTP = se synchronise avec une source configurée manuellement
        NoSync = ne synchronise pas le temps
    • Remarque :
        o Le paramètre Nt5DS ne peut pas utiliser une source configurée manuellement..
        o Les valeurs Adj et msSkewPerDay permettent de préserver les informations relatives à l'horloge d'un ordinateur entre chaque redémarrage. Ne modifiez pas ces valeurs manuellement.

2 CONFIGURATION D’UN SERVEUR DE TEMPS
2.1 INTRODUCTION
Windows inclut l'outil de service de temps W32Time requis par le protocole d'authentification Kerberos. La fonction du service de temps Windows est de s'assurer que tous les ordinateurs d'une organisation exécutant Microsoft Windows 2000 ou une version ultérieure utilisent un temps commun.
Le service de temps Windows utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun. Par défaut, les ordinateurs Windows utilisent la hiérarchie suivante :
    • Tous les ordinateurs de bureau clients nomment le contrôleur de domaine d'authentification comme partenaire de temps entrant.
    • Tous les serveurs membres suivent le même processus que les ordinateurs de bureau clients.
    • Tous les contrôleurs de domaine d'un domaine nomment le maître d'opérations du contrôleur de domaine principal comme partenaire de temps entrant.
    • Tous les maîtres d'opérations PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.
    Dans cette hiérarchie, le maître d'opérations du contrôleur de domaine principal à la racine de la forêt devient le serveur de temps faisant autorité pour l'organisation. Il est fortement recommandé de configurer le serveur de temps faisant autorité pour qu'il obtienne le temps d'une source matérielle. Lorsque vous configurez le serveur de temps faisant autorité pour une synchronisation avec une source de temps Internet, il n'y a pas authentification. Il est également recommandé de réduire les paramètres de correction de temps pour vos serveurs et clients autonomes. Ces recommandations apportent davantage de précision et de sécurité à votre domaine.
2.2 Configuration du service de temps Windows pour utiliser une horloge matérielle interne
    • Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
    • Localisez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
    • Dans le volet droit, cliquez avec le bouton droit sur AnnounceFlags, puis cliquez sur Modifier.
    • Dans Édition de la valeur DWORD, tapez A dans la zone Données de la valeur, puis cliquez sur OK.
    • Quittez l'Éditeur du Registre.
    • À l'invite de commandes, tapez la commande suivante pour redémarrer le service de temps Windows net stop w32time && net start w32time
Remarque :
Le maître de contrôleur de domaine principal ne doit pas être configuré pour se synchroniser avec lui-même. Pour plus d'informations sur les raisons pour lesquelles le maître de contrôleur de domaine principal ne doit pas être configuré pour se synchroniser avec lui-même, consultez le site Web suivant pour afficher le document RFC (Request For Comment) 1305 (en anglais) :
http://www.rfc-editor.org/
2.3 Configuration du service de temps Windows pour utiliser une source de temps externe
Pour configurer un serveur de temps interne afin que la synchronisation s'effectue par rapport à une source de temps externe, procédez comme suit :
    • Changez le type de serveur en NTP. Pour cela, procédez comme suit :
        o Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
        o Localisez et cliquez sur la sous-clé de Registre suivante :
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
        o Dans le volet droit, cliquez avec le bouton droit sur Type, puis cliquez sur Modifier.
        o Dans Modification de la chaîne, tapez NTP dans la zone Données de la valeur, puis cliquez sur OK.
    • Définissez AnnounceFlags sur 5.
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
    • Activez NTPServer. Pour cela, procédez comme suit :
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
        o Dans le volet droit, cliquez avec le bouton droit sur Enabled, puis cliquez sur Modifier et mettre 1
    • Spécifiez les sources de temps. Pour cela, procédez comme suit
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
         o cliquez avec le bouton droit sur NtpServer, puis cliquez sur Modifier.
        o Modification de la chaîne, tapez « sntpserver »dans la zone Données de la valeur, puis cliquez sur OK po sntpserver = nom_du_server_sntp,0x1
    • Sélectionnez l'intervalle d'interrogation. Pour cela, procédez comme suit :
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval  (900 est la valeur recommandé )
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection (3600 ou 1800 :=> tps en seconde)
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection (3600 ou 1800 :=> tps en seconde)
    • Quittez l'Éditeur du Registre.
    • À l'invite de commandes, tapez la commande suivante pour redémarrer le service de temps Windows net stop w32time && net start w32time.

Deplacer NTDS

COMMENT FAIRE : Utiliser Ntdsutil pour gérer des fichiers Active Directory à partir de la ligne de commande dans Windows 200X

Résumé
Cet article explique étape par étape comment gérer des fichiers Active Directory à partir de la ligne de commande et décrit le principal fichier d'annuaire. Le service d'annuaire de Microsoft Windows 2000 est implémenté sur un gestionnaire de table ISAM (Indexed Sequential Access Method). Il s'agit du même gestionnaire de table que celui utilisé par Microsoft Exchange Server, le service de réplication, l'éditeur de configuration de sécurité, le serveur de certificats, Windows Internet Name Service (WINS) et d'autres composants de Windows 2000. La version de la base de données utilisée par Windows 2000 porte le nom d'ESENT (Extensible Storage Engine)

ESENT est un système de base de données traitée qu utilise des fichiers journaux pour prendre en charge la sémantique de restauration afin de s'assurer que les transactions sont bien validées dans la base de données. Dans l'idéal, vous devez rechercher le fichier de données et les fichiers journaux sur des lecteurs séparés, de manière à améliorer les performances et à prendre en charge la récupération des données en cas de panne d'un disque.

Le fichier de données s'appelle Ntds.dit. Vous pouvez utiliser les commandes du menu Fichier de Ntdsutil pour gérer les fichiers journaux et de données du service d'annuaire.

ESENT propose son propre outil, Esentutl.exe, que vous pouvez utiliser pour accomplir certaines fonctions de gestion de fichier de base de données. Esentutl.exe est installé dans le dossier Winnt\System32. Plusieurs commandes de gestion de fichier de Ntdsutil initient Esentutl, ce qui vous évite d'avoir à apprendre les arguments de ligne de commande de cet outil. Si Ntdsutil initie Esentutl, celui-ci génère une fenêtre séparée configurée avec un historique important, ce qui vous permet de revenir en arrière et de voir tous les indicateurs de progression de Esentutl.

Le service d'annuaire de Windows 2000 ouvre ses fichiers en mode exclusif, c'est-à-dire qu'ils ne peuvent pas être gérés pendant que le serveur fonctionne en tant que contrôleur de domaine.
Retour au début
 
Procédure pour démarrer votre ordinateur en mode Restauration des services d'annuaire
1. Redémarrez votre ordinateur.
2. Une fois les informations du BIOS affichées, appuyez sur F8.
3. Utilisez la touche Bas pour sélectionner Mode Restauration des services d’annuaire (uniquement pour les contrôleurs de domaine Windows 2000) , puis appuyez sur ENTRÉE.
4. Utilisez les touches Haut et Bas pour sélectionner votre ordinateur, puis appuyez sur ENTRÉE.
5. Ouvrez une session en tant qu'administrateur avec votre nom et votre mot de passe.

Procédure pour démarrer Ntdsutil
Ntdsutil.exe se trouve dans le dossier Support Tools du CD d'installation de Windows 2000.
1. Cliquez sur Démarrer, puis sur Exécuter. Dans la zone de texte Ouvrir, tapez ntdsutil.
2. Tapez ? à l'invite de commande pour accéder au fichier d'aide de l'outil.

Procédure pour déplacer la base de données
Vous pouvez déplacer le fichier de données Ntds.dit dans le nouveau dossier spécifié par la variable d'emplacement. Dans ce cas, le Registre est mis à jour de façon que le service d'annuaire utilise le nouvel emplacement après le redémarrage du serveur.
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l’invite de commande de maintenance de fichier, tapez Move DB to Emplacement_du_dossier (où Emplacement_du_dossier est l'emplacement d'un dossier existant créé à cet effet), puis appuyez sur ENTRÉE.
3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Procédure pour déplacer des fichiers journaux
Vous pouvez déplacer le fichier de données Ntds.dit dans le nouveau dossier spécifié par la variable d'emplacement. Dans ce cas, le Registre est mis à jour de façon que le service d'annuaire utilise le nouvel emplacement après le redémarrage du serveur.
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l’invite de commande de maintenance de fichier, tapez Move logs to Emplacement_du_dossier (où Emplacement_du_dossier est l'emplacement d'un dossier existant créé à cet effet), puis appuyez sur ENTRÉE.
3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Procédure pour récupérer la base de données
Vous pouvez utiliser Esentutl.exe pour effectuer une restauration logicielle de la base de données. La restauration logicielle analyse les fichiers journaux et s'assure que toutes les transactions validées qui existent dans le fichier journal sont aussi reflétées dans le fichier de base de données. Le programme de sauvegarde de Windows 200X tronque les fichiers journaux en conséquence.

Les journaux permettent de d'assurer qu'aucune transaction validée n'est perdue en cas de panne de l'ordinateur ou de perte d'alimentation inattendue. Les données de transactions sont d'abord écrites dans un fichier journal, puis dans le fichier de données. Lorsque vous redémarrez votre ordinateur après une défaillance, vous pouvez réexécuter le journ al pour reproduire les transactions qui ont été validées mais non enregistrées dans le fichier de données.
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l'invite de commande de maintenance de fichier, tapez recover et appuyez sur ENTRÉE.
La vérification est affichée.

REMARQUE : nous vous recommandons d'effectuer une analyse sémantique de la base de données.

3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Procédure pour réparer la base de données
AVERTISSEMENT : après avoir terminé la procédure décrite dans cette section, Esentutl.exe effectue une réparation de bas niveau du fichier de base de données. Utilisez la commande repair uniquement sur les conseils d'un personnel de maintenance qualifié, car celle-ci peut provoquer la perte de données. Cette procédure permet de réparer uniquement les données dont ESENT a connaissance. Par conséquent, il se peut que l'opération de réparation élimine des données essentielles au bon fonctionnement du service d'annuaire.
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l'invite de commande de maintenance de fichier, tapez repair et appuyez sur ENTRÉE.
La vérification est affichée.

REMARQUE : nous vous recommandons d'effectuer une analyse sémantique de la base de données.
3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Procédure pour définir des chemins
Vous pouvez utiliser la commande set path pour définir le chemin d'accès des éléments suivants :
• Backup : Utilisez ce paramètre avec la commande set path pour définir la cible de sauvegarde de disque à disque sur le dossier spécifié par la variable d'emplacement. Vous pouvez configurer le service d'annuaire de manière à effectuer une sauvegarde en ligne de disque à disque à intervalles planifiés.
• Database : Utilisez ce paramètre avec la commande set path pour mettre à jour la partie du Registre qui identifie l'emplacement et le nom de fichier du fichier de données. Utilisez cette commande uniquement pour recréer un contrôleur de domaine qui a perdu son fichier de données et qui n'est pas restauré au moyen de procédures de restauration normales.
• Logs : Utilisez ce paramètre avec la commande set path pour mettre à jour la partie du Registre qui identifie l'emplacement des fichiers journaux. Utilisez cette commande uniquement si vous recréez un contrôleur de domaine qui a perdu ses fichiers journaux et qui n'est pas restauré au moyen de procédures de restauration normales.
• Working Directory : Utilisez ce paramètre avec la commande set path pour définir la partie du Registre qui identifie le dossier de travail du service d'annuaire sur le dossier spécifié par la variable d'emplacement.

Pour exécuter la commande set path
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l'invite de commande de maintenance de fichier, tapez set path objetemplacement (où objet est l'un des paramètres décrits ci-dessus et emplacement est le chemin d'accès défini pour cet objet), puis appuyez sur ENTRÉE .
3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Defragmentation D'Active Directory

Présentation
A l’image de la défragmentation d’un disque dur, la défragmentation d’une base Active Directory permet d’optimiser les accès et dans certains cas de récupérer de la place.
Beaucoup de personnes pensent qu’une défragmentation de la base Active Directory  ne procure qu’un gain minime. Pourtant sur une base qui fait plusieurs centaines de Méga Octets, le gain est réellement non négligeable.
Il faut donc effectuer une défragmentation à chaque fois que la base a subi une grosse modification (création de nouveaux utilisateurs, groupes, unités organisationnelles…ou suppression de plusieurs éléments). En effet, à l’image d’un disque, la suppression d’éléments crée des espaces vides qui ne seront jamais comblés.
La défragmentation permet également de gagner de la place, ainsi, lorsque les « trous » dans la base sont comblés, vous gagnerez de précieux Méga Octet, voir centaines de Mo.
Attention : si vous possédé plusieurs contrôleurs de domaine, vous devez savoir qu’une défragmentation doit être effectuée sur chaque serveur. En effet, les changements qu'elle effectue ne sont pas répliqués entre les DC (Contrôleur de domaine). La taille du fichier Ntdis.dit sera donc toujours différente sur les différents contrôleurs de domaine.

Les types de défragmentation
Il faut tout d’abord savoir qu’il existe deux types de défragmentation : l’une est « Online » et l’autre s’effectue « Offline ».
Ainsi la défragmentation Online s’effectue automatiquement, toutes les 12 heures par défaut. Dans ce cas, la base de données sera optimisée, mais sa taille restera inchangée.
Pour rappel, cette base de données se trouve dans le fichier c:\winnt\NTDS\Ntds.dit
Par contre dans le cas d’une défragmentation Offline, l’optimisation de la base est totale. En effet, une nouvelle base de données plus compacte sera générée.

Mise en œuvre d’une défragmentation Offline
1. Redémarrez le contrôleur de domaine. Lorsque votre Windows 2000 serveur démarre, appuyez sur F8. Choisissez  Mode restauration Active Directory (contrôleur de dom. Windows 2000).
2. Par la suite loguez vous en tant qu’administrateur de la station (et non celui du domaine).
3. Cliquez sur Démarrer -> Exécuter. Tapez ntdsutil et entrer.
4. Un prompt doit apparaître, tapez Files puis infos. Dès lors des informations sur la base de données Active Directory doivent être affichées.
5. Saisissez compact to votrelecteur:\votre_répertoire. Dans notre exemple nous allons mettre la nouvelle base Active Directory dans c:\temp

Attention : si le répertoire que vous avez choisi comporte des espaces, vous devez mettre celui ci entre guillemets.

6. Laissez le processus se dérouler jusqu'à ce que vous ayez la main.
7. Vous pouvez quitter le prompt en tapant deux fois quit.
8. Il ne vous reste plus qu’à récupérer la nouvelle base dans le répertoire c:\temp et à la repasser sur l’ancienne (par défaut c:\winnt\NTDS\ntds.dit).
9. Maintenant vous pouvez redémarrer. Votre base de données est à présent plus légère et mieux organisée.

Existe t’il une autre méthode pour défragmenter une base Active Directory ?
Oui il existe une autre méthode de défragmentation OffLine, pour cela vous devez utiliser la commande esentutl.
Cet outil sert en réalité à entretenir la base Active Directory (sauvegarde, réparation, contrôle de l’intégrité…).
Dans notre cas nous allons l’utiliser pour défragmenter la base. Rappelez vous que vous devez être en mode sans échec.
Cette méthode est aussi efficace que ntdsutil, mais elle est plus compliquée, elle a donc peu d’intérêts

Conclusion
Dans notre exemple la base ne faisait que 10 Mo, le gain a donc été négligeable. Mais sur une base de données de plus de 100 Mo, une telle optimisation est nécessaire afin d’accélérer les temps de réponse du contrôleur de domaine.
Le seul inconvénient bien entendu, c’est que le contrôleur de domaine sera inaccessible durant quelque minutes.
Mais le gain sera sensible sur l’ensemble de votre domaine.

Augmenter bande passante sous XP

Utilisateurs de Windows XP professionnel, sachez que par défaut, la bande passante disponible sur votre interface réseau est limitée à 80% par le service QoS (Quality of Service).

Pour profiter de 100% de votre bande passante voici ce qu?il faut faire :

1. Connectez vous en tant qu'administrateur

2. Cliquer sur Démarrer, puis Executer et tapez : gpedit.msc
La fenêtre stratégie de groupe s'ouvre alors.

3. Cliquez dans modèle d'administration, puis dans réseau et enfin dans planificateur de paquet QoS .
Double cliquez ensuite sur limiter la bande passante réservable.

La valeur par défaut est 20%, passer la  à 0 pour profiter de 100% de votre interface réseau.

Il vous faudra redémarrer l'ordinateur pour que Windows prenne en compte la modification.

Comment réinitialiser ou Changer le numéro de série de Microsoft Office 2007

Vous avez peut etre un soucis avec la validation WGA,OGA qui vous sort que votre license office n'est pas officielle alors que cela fonctionné quelques heures avant et que votre produit a ete acheté en format boite (RETAIL) ou en volume (VLK).

voici la solution :

1. Fermez tous les logiciels Microsoft Office
2. Click sur le bouton demarrer puis executer
3. Tapez “regedit” (sans les quotes) et faire Ok ou appuyez sur Enter
4. Allez sur la clé de registre suivante
HKEY_LOCAL_MACHINE \Software\Microsoft\Office\12.0\Registration

et vous trouvez une sous cle qu type
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\Registration\{00000000-0000-0000-0000-000000000000}

5. Faire un backup de cette clé
6. Cherchez les deux valeurs suivante et faite un delete puis yes
• DigitalProductID

• ProductID

7. Sortez de l editeur de registre.

8. Lancer une application office, il vous sera demandé votre numero de série a 25 characteres.

9. Faite installer maintenant, une reconfiguration se produira.

10. A la fin relancez la validation

c'est tout

Lors d’une migration ou de l’ajout d’un contrôleur complémentaire, il peut être intéressant voir nécessaire de transférer les rôles d’un serveur à l’autre. Il existe deux moyens de procéder au transfert des rôles, soit par la voie graphique (qui nécessite l’ajout d’une console MMC) soit par un utilitaire NTDSUTIL.

 procédure :

ntdsutil roles connections connect to server SERVEUR quit transfer schema master transfer domain naming master transfer pdc transfer rid master transfer infrastructure master exit

Comment installer Windows 2003 R2 sur un controleur de domaine

Comment installer Windows 2003 R2 sur un controleur de domaine

Avant d’installer la version R2, il est nécessaire de modifier le schéma.

En effet, certains services tels que DFS, Print Services, nécessitent cette modification à l’aide de l’outil ADPREP.

La version R2 de Windows 2003 contient une nouvelle version de ADPREP (5.2.3790.2075) sur le CD-ROM n°2 à l’emplacement \CMPNENTS\R2\ADPREP.

Si vous exécutez Windows 2003 en forêt (c’est-à-dire qu’au moins 1 serveur Windows 2003 DC, il convient de lancer la commande : (nécessite des droits Schema Admins et Enterprise Admins)

ADPREP /FORESTPREP

Le schéma sera alors modifié, en passant de la version 30 à 31.

Si, par contre, votre AD est exécuté par une forêt Windows 2000, il convient alors de modifier également le domaine.

ADPREP /FORESTPREP

ADPREP /DOMAINPREP

Le schéma sera alors modifié en comprenant les modifications nécessaires pour passer en AD 2003 puis 2003 R2. La version du schéma passera de 13 à 31.

Sur un AD Windows 2000, il est important de préparer son serveur avant de modifier le schéma : - au minimum Installation du Service Pack 1 avec le patch KB 265089 - Ou installation du Service Pack 2 ou plus qui contient ce patch

Pour s’assurer que les modifications de schéma ont été correctement appliquées, installer le Support Tools, puis lancer ADSIEdit.msc.

Vous devriez obtenir :
 CN=Windows2003Update,CN=ForestUpdates,CN=Configuration,DC=domain-name,DC=com après /forestprep

 CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=domain-name,DC=com après le /domainprep

A ce stade, vous pouvez lancer l’installation SETUP.EXE se situant dans le CD-ROM n°2 à l’emplacement \CMPNENTS\R2\

LES ROLES FSMO DANS AD

LES ROLES FSMO DANS AD

LES DIFFERENTS ROLES
 Controleur du schema Unique au sein d’une forêt

 Maitres d attribution des noms de domaines Unique au sein d’une forêt

 Maitre rid Unique au sein d’un domaine

 Maitre d’infrastructure Unique au sein d’un domaine

 Emulateur pdc Unique au sein d’un domaine

LES FONCTIONS

 Contrôleur du schéma Gère la modification du schéma AD

 Maitres d attribution des noms de domaines Inscription des domaines dans la forêt

 Maitre RID Distribue les plages RID pour la gestion des SID

 Maitre d’infrastructure Gère le déplacement des objets dans AD.

 Emulateur PDC Garantie une compatibilité avec les anciens systèmes

ROLES - FONCTIONS DETAILLEES

 Rôle FSMO Contrôleur de schéma

Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d’effectuer les mises à jour vers le schéma d’annuaire (c’est-à-dire, du contexte de nommage du schéma ou LDAP ://cn=schema,cn=configuration,dc=).

Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l’annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l’annuaire. Il existe un seul contrôleur de schéma par annuaire.

 Rôle FSMO Maître d’attribution de noms de domaine

Le détenteur du rôle FSMO Maître d’attribution de noms de domaine est le contrôleur de domaine chargé d’apporter des modifications à l’espace de noms des domaines de niveau forêt de l’annuaire (c’est-à-dire le contexte de nommage Partitions\Configuration ou LDAP ://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l’annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes.

 Rôle FSMO Maître RID

Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d’un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d’un déplacement d’objet. Lorsqu’un contrôleur de domaine crée un objet entité de sécurité tel qu’un utilisateur ou un groupe, il joint à l’objet un ID de sécurité (SID) unique. Ce SID est constitué d’un SID de domaine (le même pour tous les SID créés dans un domaine) et d’un ID relatif (RID), unique pour chaque SID d’entité de sécurité créé dans un domaine.

Chaque contrôleur de domaine Windows 200X d’un domaine se voit allouer un pool de RID qu’il peut attribuer aux entités de sécurité qu’il crée. Lorsque le pool de RID d’un contrôleur de domaine tombe en deçà d’un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine d’un annuaire.

 Rôle FSMO Infrastructure

Lorsqu’un objet d’un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l’objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d’un objet dans une référence d’objet inter-domaine.

REMARQUE : Le rôle Maître d’infrastructure doit être assuré par un contrôleur de domaine qui n’est pas un serveur de catalogues global. Si le rôle Maître d’infrastructure est exécuté sur un serveur de catalogues global, il arrêtera la mise à jour des informations sur les objets, car il ne dispose pas de références aux objets qu’il ne contient pas. Cela s’explique par le fait qu’un serveur de catalogues global comprend un réplica partiel de chaque objet de la forêt. En conséquence, les références d’objets inter-domaines de ce domaine ne seront pas mises à jour et un avertissement dans ce sens sera consigné dans le journal des événements de ce contrôleur de domaine.

Si tous les contrôleurs de domaine d’un domaine hébergent également le catalogue global, tous contiennent les données actuelles. Peu importe donc quel contrôleur de domaine contient le rôle de maître d’infrastructure.

 Rôle FSMO Émulateur PDC

L’émulateur PDC est nécessaire pour synchroniser l’heure dans une entreprise. Windows 2000 inclut l’outil de service de temps W32Time (Windows Time) requis par le protocole d’authentification Kerberos. Tous les ordinateurs Windows 2000 d’une entreprise utilisent une heure commune. L’objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l’autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun.

L’émulateur PDC d’un domaine fait autorité pour le domaine. L’émulateur PDC situé à la racine de la forêt acquiert l’autorité pour l’entreprise et doit être configuré de façon à percevoir l’heure d’une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.

Dans un domaine Windows 200X, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes :

• Les modifications de mot de passe exécutées par d’autres contrôleurs de domaine du domaine sont répliquées de préférence sur l’émulateur PDC.
• Les échecs d’authentification qui se produisent en raison d’un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l’émulateur PDC avant que l’échec ne soit signalé à l’utilisateur dans un message.
• Le verrouillage de compte est traité sur l’émulateur PDC.
• L’émulateur PDC exécute toutes les fonctionnalités qu’un contrôleur de domaine principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients Windows NT 4.0 ou antérieurs.

Cette partie du rôle d’émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 200X. L’émulateur PDC continue d’exécuter les autres fonctions décrites dans un environnement Windows 2000.

Les informations suivantes décrivent les modifications survenant lors du processus de mise à niveau :

• Les clients Windows 200X / XP (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n’effectuent pas les écritures d’annuaire (comme les changements de mots de passe) de préférence sur le contrôleur de domaine qui s’est autoproclamé contrôleur principal de domaine ; ils utilisent n’importe quel contrôleur du domaine.
• Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 200X, l’émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur.
• Les clients Windows 200X / XP (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l’annuaire Active Directory pour localiser des ressources réseau. Ils n’ont pas besoin du service Explorateur d’ordinateur de Windows NT.

Catalogue Global AD, Mise en place

Catalogue Global AD, Mise en place

- Qu’est ce qu’un catalogue Global Le catalogue global joue un rôle clé dans une infrastructure Active Directory, en effet le catalogue global tient 2 rôles essentiels :

• Le traitement des requêtes à l’intérieur d’un domaine et sur les domaines adjacents, en rendant la consultation l’arborescence des objets contenus dans les forets plus souple, cela permet aux utilisateurs d’effectuer des requêtes plus rapidement et d’interagir avec les différentes ressources présentes sur le réseau.

• Les ouvertures de session, lorsqu’un utilisateur ouvre une session, celui-ci doit être en mesure de localiser un contrôleur de domaine faisant office de catalogue globale, ainsi le contrôleur de domaine pourra, si l’accès est permis, lui délivré l’autorisation de se connecter au domaine.

Si aucun catalogue global n’est présent, alors l’utilisateur pourra uniquement se loguer en local, sauf pour les membres du groupe Administrateur de domaines. Par défaut, le premier contrôleur de domaine du réseau est le catalogue global.

 se connecter a site et service AD
 Aller sur un serveur contrôleur de domaine d’un site
 Faire propriétés sur NTDS Settings
 Cocher la case Catalogue global
 Redémarrer le serveur et patienter pendant la réplication

Comme indiqué, le temps nécessaire pour la publication du catalogue global varie selon la topologie ainsi que selon la taille de l’AD. Le temps peu varier de quelques minutes a plusieurs heures.

- Préconisations

1 catalogue global par site

• Le rôle Maître d’infrastructure doit être assuré par un contrôleur de domaine qui n’est pas un serveur de catalogues global.

• Si le rôle Maître d’infrastructure est exécuté sur un serveur de catalogues global (mais pas tous les DC), il arrêtera la mise à jour des informations sur les objets, car il ne dispose pas de références aux objets qu’il ne contient pas.

Cela s’explique par le fait qu’un serveur de catalogues global comprend un réplica partiel de chaque objet de la forêt. En conséquence, les références d’objets inter-domaines de ce domaine ne seront pas mises à jour et un avertissement.

tous les DC peuvent avoir un catalogue global Si tous les contrôleurs de domaine d’un domaine hébergent également le catalogue global, tous contiennent les données actuelles. Peu importe donc quel contrôleur de domaine contient le rôle de maître d’infrastructure.

Installtion Ad a partir d une sauvegarde

 PRINCIPE

Lors de l’installation d’un contrôleur de domaine (DC) supplémentaire dans un domaine existant, il faut savoir qu’une réplication complète de la base Active Directory est effectuée entre les deux serveurs. Dans le cas où la base Active Directory est trop importante (pour les grandes entreprises essentiellement), le temps de réplication peut être extrêmement important sur des liens lents (plusieurs heures). Parfois, cela peut même empêcher l’installation d’un nouveau contrôleur de domaine et vous obtenez donc une erreur.

SITE1---------------------------------/--------------------------------------Site2

En effet Windows Server 2003 permet d’installer un nouveau contrôleur de domaine à partir d’un média, c’est-à-dire en utilisant une sauvegarde de la base Active Directory d’un contrôleur de domaine existant à la place de la réplication qui a lieu normalement. Il y a différentes possibilités pour stocker cette sauvegarde de l’état du système (Systeme State) comme une bande magnétique, un CD / DVD ou encore un partage réseau. Bien évidemment, pour être utilisée, une restauration doit être faîte dans un dossier accessible par le nouveau contrôleur de domaine. Attention, il faut savoir que cette fonctionnalité n’enlève en rien l’obligation de contacter un contrôleur de domaine au moment de l’installation du nouveau contrôleur de domaine. Par ailleurs, il est a noté qu’à la fin de l’installation du contrôleur de domaine, une réplication des dernières mises à jour de la base Active Directory est effectuée afin d’obtenir les dernières modifications.

Pour effectuer cette installation, nous utiliserons la commande dcpromo.exe accompagné du commutateur /adv.

Voici les 3 grandes étapes :

• Sauvegarde de l’état du système d’un contrôleur de domaine dans un dossier partagé. (Mais dans la réalité, cette sauvegarde sera effectuée sur une bande, ou bien gravée sur un CD ou un DVD par exemple puis acheminé vers le site distant, sinon la procédure n’aurait aucun sens)

• Restauration de cette sauvegarde dans un dossier sur le serveur à promouvoir.

• Installation du nouveau DC à l’aide de commande dcpromo /adv.

 SAUVEGARDE DE L’ETAT DU SYSTEME :

La première chose à faire va être de sauvegarder ce que l’on appelle l’état du système (System State) du contrôleur de domaine existant. En effet comme nous l’avons expliqué dans le principe de l’opération, cette sauvegarde va nous permettre d’éviter qu’une réplication complète ne soit effectuée, après l’installation du nouveau contrôleur de domaine, provoquant de nombreux problèmes sur des liaisons WAN lentes. Voici juste un petit rappel sur l’État du système. En sauvegardant l’État du Système de votre serveur vous sauvegarderez :

• La base de Registre
• Base de données des inscriptions de classe COM+
• Fichiers d’amorçage, dont les fichiers système
• Base de données des services de certificats
• Service d’annuaire Active Directory
• Répertoire SYSVOL
• Informations sur le service de cluster

Ce qui nous intéresse, tout particulièrement, c’est la sauvegarde du service d’annuaire. Nous allons utiliser l’utilitaire de sauvegarde directement incorporé dans Windows Server 2003 à savoir NTBackup.

• Lancez NTBackup : Démarrer - Tous les programmes - Accessoires - Outil système - Utilitaire de sauvegarde. Ou alors exécutez la commande suivante : "ntbackup" dans le menu Exécuter.
• L’utilitaire se lance alors, sur l’écran Assistant Sauvegarde ou Restauration cliquez sur Suivant.
• Dans la page "Que voulez-vous faire ?", sélectionnez l’option "Sauvegarder des fichiers et des paramètres".
• Dans l’écran "Que voulez-vous sauvegarder ?", sélectionnez l’option : "Me laisser choisir les fichiers à sauvegarder", puis cliquez sur Suivant.
• Dans l’écran "Éléments à sauvegarde", développez le Poste de Travail puis sélectionnez la case "System State" (État du Système en français).
• Dans l’écran "Type, nom et destination de sauvegarde", choisissez un emplacement ainsi qu’un nom explicite pour votre fichier sauvegarde.
• Enfin dans la page "Fin de l’Assistant Sauvegarde ou Restauration", cliquez sur Terminer.
• La sauvegarde commence alors et vous pouvez suivre son évolution. Le temps restant ainsi que la taille tu fichier de sauvegarde prévue s’affiche en permanence.
• Une fois la sauvegarde terminée, cliquez sur le bouton "Rapport..." afin de vérifier que tout s’est bien passé. Ensuite cliquez sur Fermer.

 RESTAURATION A PARTIR D’UN PARTAGE RESEAU

Maintenant que nous avons fait la sauvegarde d’Active Directory sur l’un de nos sites supposé éloigné et relié avec une liaison lente, la réalité voudrait que nous envoyons par la poste ou autre cette sauvegarde afin de la restaurer sur le site où nous voulons installer notre nouveau contrôleur de domaine. Dans notre cas nos restaurerons la sauvegarde sur le serveur à promouvoir à partir d’un dossier partagé sur le premier contrôleur de domaine (c’est à dire C :\Sauvegarde\). Sur le serveur à promouvoir, effectuez les tâches suivantes :

• Lancez NTBackup : Démarrer - Tous les programmes - Accessoires - Outil système - Utilitaire de sauvegarde. Ou alors exécutez la commande suivante : "ntbackup" dans le menu Exécuter.
• L’utilitaire se lance alors, sur l’écran Assistant Sauvegarde ou Restauration cliquez sur Suivant.
• Dans la page "Que voulez-vous faire ?", sélectionnez l’option "Restaurer des fichiers et des paramètres".
• Dans l’écran "Que voulez-vous restaurer ?", cliquez sur "Parcourir..." pour charger la sauvegarde à partir de votre média dans la réalité, mais dans notre cas à partir d’un partage réseau sur le serveur initial (C :\Sauvegarde). Dans le menu de gauche "Éléments à restaurer", cochez la case System State, puis cliquez sur Suivant.
• Dans l’écran Fin de l’assistant Sauvegarde ou Restauration, cliquez sur le bouton "Avancé..." afin de choisir le dossier de restauration.
• Dans l’écran "Ou voulez-vous restaurer ?", sélectionnez "Autre emplacement" dans la première liste déroulante puis choisissez le dossier qui accueillera la restauration (dans notre cas : C :\Restore). Cliquez ensuite trois fois sur Suivant puis sur Terminer.
• Comme lors de la sauvegarde, une fois terminée cliquez sur Rapport afin de vérifier le bon déroulement de la procédure.

Passons à la dernière étape, la plus importante, l’installation d’Active Directory sur le nouveau contrôleur de domaine à l’aide de la commande dcpromo /adv.

 INSTALLATION DU NOUVEAU DC AVEC DCPROMO /ADV

Maintenant que les deux premières étapes sont finies, nous pouvons passer à la partie installation d’un nouveau DC à partir d’une sauvegarde. Habituellement pour promouvoir un serveur en tant que contrôleur de domaine nous utilisons la commande classique : dcpromo. Dans notre cas afin de pouvoir lui spécifier le répertoire de restauration nous rajouterons à cette commande le commutateur /adv (pour Advanced).

Installation du nouveau DC à l’aide de dcpromo /adv :

• Dans le menu "Exécuter" tapez la commande : dcpromo /adv.
• Dans la fenêtre de l’assistant cliquez sur le bouton Suivant :
• L’écran suivant "Compatibilité du système d’exploitation", nous informe que pour des raisons d’incompatibilité au niveau de la sécurité, les ordinateurs exécutant les systèmes comme Windows 95 ou Windows NT 4.0 SP3 ne pourront pas de connecter au domaine. Il est cependant possible de déjouer cette règle en modifiant la stratégie de sécurité sur le contrôleur de domaine... Cliquez donc sur "Suivant".
• Dans l’écran "Type de contrôleur de domaine", sélectionnez bien évidemment la deuxième option à savoir "Contrôleur de domaine supplémentaire pour un domaine existant", sinon notre procédure n’aurait aucun sens s’il s’agissait d’un DC pour un nouveau domaine puisqu’il n’y aurait pas de problème de réplication.
• Grâce à l’ajout du commutateur /adv, l’écran suivant "Copie des informations du domaine en cours" nous demande de choisir à partir de quel emplacement va se faire la mis à jour. Nous choisirons bien évidement la deuxième option "A partir des fichiers de restauration de cette sauvegarde" et entrerons le chemin correspondant à savoir dans notre cas C :\Restore. Puis cliquez sur "Suivant".
• Étant donné que le contrôleur de domaine source était un catalogue global pour le domaine (nous reviendrons sur cette notion dans un prochain article), on nous propose de choisir si le nouveau DC sera un catalogue global supplémentaire. Nous choisirons l’option Oui. Cliquez ensuite sur "Suivant".
• Dans l’écran "Informations d’identification réseau", sélectionnons un compte d’utilisateur ayant les droits d’ajouter un nouveau contrôleur de domaine, comme un administrateur de domaine ou de l’entreprise. Une fois ses identifiants rentrés, cliquez sur "Suivant".
• Pour l’écran "Dossiers de la base de données et du journal" laissez les chemins d’accès par défaut pour la base de données ainsi que pour le journal. Cliquez deux sur "Suivant" pour valider le Volume système partagé de l’écran suivant également.
• Sur l’écran "Mot de passe administrateur...", entrez le mot de passe pour le mode Restauration, puis confirmez le. Enfin cliquez sur Suivant.
• Sur l’écran de résumé, vérifiez bien que les informations inscrites soient correctes puis cliquez sur Suivant. L’opération d’installation d’Active Directory démarre alors...
• Une fois que l’écran de fin d’installation apparaît cliquez sur puis redémarrez l’ordinateur comme il est demandé.

Une légère réplication (de type incrémentiel) est alors effectuée entre les deux contrôleurs de domaine afin de s’assurer que le nouveau DC possède bien la dernière version de base Active Directory... La commande dcpromo /adv permet l’installation d’un nouveau DC sur un site distant relié avec une connexion lente en réduisant les répliques au maximum. Ceci permet également de laisser la liaison libre pour les utilisateurs.

Utiliser Ntdsutil pour gérer des fichiers Active Directory à partir de la ligne de commande

Utiliser Ntdsutil pour gérer des fichiers Active Directory à partir de la ligne de commande

Résumé Cet article explique étape par étape comment gérer des fichiers Active Directory à partir de la ligne de commande et décrit le principal fichier d’annuaire. Le service d’annuaire de Microsoft Windows 2000 est implémenté sur un gestionnaire de table ISAM (Indexed Sequential Access Method). Il s’agit du même gestionnaire de table que celui utilisé par Microsoft Exchange Server, le service de réplication, l’éditeur de configuration de sécurité, le serveur de certificats, Windows Internet Name Service (WINS) et d’autres composants de Windows 2000. La version de la base de données utilisée par Windows 2000 porte le nom d’ESENT (Extensible Storage Engine)

ESENT est un système de base de données traitée qu utilise des fichiers journaux pour prendre en charge la sémantique de restauration afin de s’assurer que les transactions sont bien validées dans la base de données. Dans l’idéal, vous devez rechercher le fichier de données et les fichiers journaux sur des lecteurs séparés, de manière à améliorer les performances et à prendre en charge la récupération des données en cas de panne d’un disque.

Le fichier de données s’appelle Ntds.dit. Vous pouvez utiliser les commandes du menu Fichier de Ntdsutil pour gérer les fichiers journaux et de données du service d’annuaire.

ESENT propose son propre outil, Esentutl.exe, que vous pouvez utiliser pour accomplir certaines fonctions de gestion de fichier de base de données. Esentutl.exe est installé dans le dossier Winnt\System32. Plusieurs commandes de gestion de fichier de Ntdsutil initient Esentutl, ce qui vous évite d’avoir à apprendre les arguments de ligne de commande de cet outil. Si Ntdsutil initie Esentutl, celui-ci génère une fenêtre séparée configurée avec un historique important, ce qui vous permet de revenir en arrière et de voir tous les indicateurs de progression de Esentutl.

Le service d’annuaire de Windows 2000 ouvre ses fichiers en mode exclusif, c’est-à-dire qu’ils ne peuvent pas être gérés pendant que le serveur fonctionne en tant que contrôleur de domaine.

 Procédure pour démarrer votre ordinateur en mode Restauration des services d’annuaire

• Redémarrez votre ordinateur.
• Une fois les informations du BIOS affichées, appuyez sur F8.
• Utilisez la touche Bas pour sélectionner Mode Restauration des services d’annuaire (uniquement pour les contrôleurs de domaine Windows 2000) , puis appuyez sur ENTRÉE.
• Utilisez les touches Haut et Bas pour sélectionner votre ordinateur, puis appuyez sur ENTRÉE.
• Ouvrez une session en tant qu’administrateur avec votre nom et votre mot de passe.

 Procédure pour démarrer Ntdsutil

Ntdsutil.exe se trouve dans le dossier Support Tools du CD d’installation de Windows 2000.

• Cliquez sur Démarrer, puis sur Exécuter.
• Dans la zone de texte Ouvrir, tapez ntdsutil.

Tapez ? à l’invite de commande pour accéder au fichier d’aide de l’outil.

 Procédure pour déplacer la base de données

Vous pouvez déplacer le fichier de données Ntds.dit dans le nouveau dossier spécifié par la variable d’emplacement. Dans ce cas, le Registre est mis à jour de façon que le service d’annuaire utilise le nouvel emplacement après le redémarrage du serveur.

• A l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
• À l’invite de commande de maintenance de fichier, tapez Move DB to Emplacement_du_dossier (où Emplacement_du_dossier est l’emplacement d’un dossier existant créé à cet effet), puis appuyez sur ENTRÉE.
• Pour quitter l’outil, tapez q à l’invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

 Procédure pour déplacer des fichiers journaux

Vous pouvez déplacer le fichier de données Ntds.dit dans le nouveau dossier spécifié par la variable d’emplacement. Dans ce cas, le Registre est mis à jour de façon que le service d’annuaire utilise le nouvel emplacement après le redémarrage du serveur.

• À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
• À l’invite de commande de maintenance de fichier, tapez Move logs to Emplacement_du_dossier (où Emplacement_du_dossier est l’emplacement d’un dossier existant créé à cet effet), puis appuyez sur ENTRÉE.
• Pour quitter l’outil, tapez q à l’invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

 Procédure pour récupérer la base de données

Vous pouvez utiliser Esentutl.exe pour effectuer une restauration logicielle de la base de données. La restauration logicielle analyse les fichiers journaux et s’assure que toutes les transactions validées qui existent dans le fichier journal sont aussi reflétées dans le fichier de base de données. Le programme de sauvegarde de Windows 200X tronque les fichiers journaux en conséquence.

Les journaux permettent de d’assurer qu’aucune transaction validée n’est perdue en cas de panne de l’ordinateur ou de perte d’alimentation inattendue. Les données de transactions sont d’abord écrites dans un fichier journal, puis dans le fichier de données. Lorsque vous redémarrez votre ordinateur après une défaillance, vous pouvez réexécuter le journ al pour reproduire les transactions qui ont été validées mais non enregistrées dans le fichier de données.

• À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
• À l’invite de commande de maintenance de fichier, tapez recover et appuyez sur ENTRÉE. REMARQUE : nous vous recommandons d’effectuer une analyse sémantique de la base de données. Pour plus d’informations sur la procédure à suivre pour effectuer une analyse de base de données sémantique, consultez la section "Références" de cet article.
• Pour quitter l’outil, tapez q à l’invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

 Procédure pour réparer la base de données

AVERTISSEMENT : après avoir terminé la procédure décrite dans cette section, Esentutl.exe effectue une réparation de bas niveau du fichier de base de données. Utilisez la commande repair uniquement sur les conseils d’un personnel de maintenance qualifié, car celle-ci peut provoquer la perte de données. Cette procédure permet de réparer uniquement les données dont ESENT a connaissance. Par conséquent, il se peut que l’opération de réparation élimine des données essentielles au bon fonctionnement du service d’annuaire.

• À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
• À l’invite de commande de maintenance de fichier, tapez repair et appuyez sur ENTRÉE. REMARQUE : nous vous recommandons d’effectuer une analyse sémantique de la base de données. Pour plus d’informations sur la procédure à suivre pour effectuer une analyse de base de données sémantique, consultez la section "Références" de cet article.
• Pour quitter l’outil, tapez q à l’invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE. Retour au début

 Procédure pour définir des chemins

Vous pouvez utiliser la commande set path pour définir le chemin d’accès des éléments suivants :

• Backup : Utilisez ce paramètre avec la commande set path pour définir la cible de sauvegarde de disque à disque sur le dossier spécifié par la variable d’emplacement. Vous pouvez configurer le service d’annuaire de manière à effectuer une sauvegarde en ligne de disque à disque à intervalles planifiés.
• Database : Utilisez ce paramètre avec la commande set path pour mettre à jour la partie du Registre qui identifie l’emplacement et le nom de fichier du fichier de données. Utilisez cette commande uniquement pour recréer un contrôleur de domaine qui a perdu son fichier de données et qui n’est pas restauré au moyen de procédures de restauration normales.
• Logs : Utilisez ce paramètre avec la commande set path pour mettre à jour la partie du Registre qui identifie l’emplacement des fichiers journaux. Utilisez cette commande uniquement si vous recréez un contrôleur de domaine qui a perdu ses fichiers journaux et qui n’est pas restauré au moyen de procédures de restauration normales.
• Working Directory : Utilisez ce paramètre avec la commande set path pour définir la partie du Registre qui identifie le dossier de travail du service d’annuaire sur le dossier spécifié par la variable d’emplacement.

 Pour exécuter la commande set path

• À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
• À l’invite de commande de maintenance de fichier, tapez set path objetemplacement (où objet est l’un des paramètres décrits ci-dessus et emplacement est le chemin d’accès défini pour cet objet), puis appuyez sur ENTRÉE .
• Pour quitter l’outil, tapez q à l’invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

déplacer l’arborescence SYSVOL

Déplacer l’arborescence SYSVOL sur un contrôleur de domaine qui exécute Windows 2000 Server ou Windows Server 2003

 Résumé

Le volume système, ou SYSVOL, est un ensemble de dossiers, de points d’analyse du système de fichiers, et de paramètres de stratégie de groupe, qui sont répliqués par le Service de réplication de fichiers (FRS). La réplication distribue une copie cohérente des paramètres et scripts de stratégie de groupe aux contrôleurs de domaine d’un domaine. Les ordinateurs membres et les contrôleurs de domaine accèdent aux contenus de l’arborescence SYSVOL via deux dossiers partagés, Sysvol et Netlogon.

Cet article explique comment déplacer l’arborescence SYSVOL et ses partages vers une lettre de lecteur logique ou physique différent. Retour au début

 INTRODUCTION

Au cours de la durée de vie d’un contrôleur de domaine qui exécute Microsoft Windows 2000 ou Microsoft Windows Server 2003, vous devrez peut-être déplacer l’arborescence SYSVOL vers un lecteur logique ou physique différent. Vous pouvez déplacer l’arborescence SYSVOL afin d’améliorer les performances du système ou pour libérer davantage d’espace disque pour l’arborescence SYSVOL ou pour le dossier intermédiaire FRS.

Pour plus d’informations sur la modification du dossier intermédiaire FRS à un emplacement indépendant de l’arborescence SYSVOL, cliquez sur les numéros ci-dessous pour afficher les articles correspondants de la Base de connaissances Microsoft. 265085 (http://support.microsoft.com/kb/265085/) Le déplacement de FRSStagingPath nécessite une restauration qui ne fait pas autorité des versions pré-Service Pack 3 de FRS 291823 (http://support.microsoft.com/kb/291823/) Comment faire pour réinitialiser le dossier intermédiaire du service de réplication de fichiers sur un lecteur logique différent

Pour déplacer une arborescence SYSVOL sur un nouveau lecteur, effectuez l’une des opérations suivantes :

• Effectuez une rétrogradation (Dcpromo.exe) à l’aide de l’Assistant Installation de Active Directory. Indiquez un nouveau lecteur et chemin pour l’arborescence SYSVOL pendant la rétrogradation.
• Modifiez le Registre et déplacez manuellement l’arborescence SYSVOL sur un nouveau lecteur.

Plus d’informations

Cette section explique comme déplacer l’arborescence SYSVOL du dossier C :\Winnt\Sysvol vers le dossier X :\Winnt\Sysvol. Dans cet exemple, le contrôleur de domaine est appelé DC1, et le nom de domaine est CONTOSO.COM.

 Utilisation de l’Assistant Installation de Active Directory pour rétrograder et promouvoir à nouveau le contrôleur de domaine

• Confirmez qu’il y a une réplication entrante et sortante pour le service d’annuaire Active Directory et pour l’arborescence SYSVOL.
• Utilisez l’Assistant Installation de Active Directory pour effectuer une rétrogradation basée sur le réseau du contrôleur de domaine DC1. Redémarrez DC1 immédiatement après la rétrogradation.
• Avant de promouvoir de nouveau DC1, patientez le temps que les événements suivants se produisent :
• Tous les contrôleurs de domaine dans la forêt doivent effectuer une réplication entrante de la suppression de l’objet de paramètres du système de fichiers NTDS du contrôleur de domaine rétrogradé.

Cet objet se trouve sur la partition de configuration. L’objet de paramètres NTDS est parent des objets de connexion Active Directory qui sont visibles dans le composant logiciel enfichable Utilisateurs et services Active Directory.

— * Tous les contrôleurs de domaine de catalogue global de la forêt doivent effectuer une réplication entrante de la copie en lecture seule de la partition de domaine DC1.

• Utilisez l’Assistant Installation de Active Directory pour indiquer un nouveau lecteur et un nouveau chemin sur une partition au format NTFS. La rétrogradation et la promotion d’un contrôleur de domaine est une option simple et prise en charge pour le déplacement de l’arborescence SYSVOL et de ses partages lorsque les conditions suivantes sont vérifiées :
  — * Un nombre petit ou moyen d’objets figurent dans Active Directory.
  — * Une connectivité de vitesse de réseau local (LAN, Local area network) est disponible.
  — * Des contrôleurs de domaine supplémentaires sont disponibles dans le domaine Active Directory affecté et le site Active Directory.

Toutefois, les promotions basées sur le réseau effectuées à l’aide de l’Assistant Installation de Active Directory, dans des domaines comportant des bases de données Active Directory de plusieurs giga-octets, peuvent durer de 2 à 7 jours si la connectivité réseau est lente. Pour éviter des délais lors de la réplication de réplicas de contrôleurs de domaine qui exécutent Windows Server 2003, vous pouvez effectuer des installations à partir de promotions basées sur un support, où les données en bloc Active Directory proviennent d’une sauvegarde de l’état du système restaurée en local.

Pour estimer le temps requis pour une promotion basée sur le réseau, comparez les heures de début et de fin d’une promotion précédente dont la portée est comparable. Ces heures sont disponibles dans le fichier %Systemroot%\Debug\Dcpromo.log. Retour au début Déplacement manuel d’une arborescence SYSVOL existante vers un nouvel emplacement Avertissement Des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte à l’aide de l’Éditeur du Registre ou d’une autre méthode. Ces problèmes peuvent vous obliger à réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l’ensemble des risques liés à la modification du registre.

Pour déplacer manuellement l’arborescence SYSVOL, déplacez-la depuis son lecteur et chemin vers un nouveau lecteur et chemin de destination en modifiant plusieurs clé de Registre et en redéfinissant des poins d’analyse dans le système de fichiers. Pour cela, procédez comme suit :

• Préparez votre contrôleur de domaine. Pour cela, procédez comme suit :
• Confirmez qu’il y a une réplication Active Directory entrante et sortante sur le contrôleur de domaine.
• Confirmez qu’il y a une réplication FRS entrante et sortante du jeu de réplicas SYSVOL sur le contrôleur de domaine.
  — * Désactivez les programmes antivirus ou d’autres services qui créent des verrous sur les fichiers ou les dossiers qui résident dans l’arborescence SYSVOL.
  — * Sauvegardez l’état du système du contrôleur de domaine. Sauvegardez la partie relative au système de fichiers dans l’arborescence SYSVOL sur le contrôleur de domaine de façon à pouvoir restaurer la configuration en cours de l’ordinateur en cas de problèmes avec le processus de déplacement.
  — * Arrêtez FRS.

• Utilisez l’Explorateur Windows ou un programme équivalent pour copier l’arborescence de domaine SYSVOL d’origine dans le presse-papiers.

Par exemple, si l’arborescence de domaine SYSVOL se trouve dans le dossier C :\Winnt\Sysvol, sélectionnez ce dossier, cliquez sur Edition dans la barre de menus, puis sur Copier.

• Utilisez l’Explorateur Windows ou un programme équivalent pour coller le contenu du presse-papiers dans le nouveau chemin.

Par exemple, pour déplacer l’arborescence SYSVOL dans le dossier X :\Winnt\Sysvol, sélectionnez ce dossier, cliquez sur Edition, puis sur Coller.

Le dossier parent de l’arborescence SYSVOL déplacée peut être modifié. Toutefois, il est recommandé de conserver le même chemin relatif pour l’arborescence SYSVOL déplacée. Par exemple, si l’arborescence SYSVOL se trouvait à l’origine dans le dossier C :\Winnt\Sysvol, et que vous souhaitez la déplacer sur le lecteur logique X :, créez un dossier X :\Winnt, puis collez l’arborescence SYSVOL dans ce dernier.

• Utilisez les éditeurs Ldp.exe ou ADSIedit.msc pour modifier la valeur de l’attribut FRSRootPath dans Active Directory. L’attribut FRSRootPath doit refléter le nouveau lecteur racine du jeu de réplicas et le dossier que vous avez spécifié à l’étape 3. Dans cet exemple, vous devriez modifier l’attribut FRSRootPath comme suit :
  — * DN Path : cn=Domain System Volume (SYSVOL share),CN=NTFRS Subscriptions,CN=DC1,OU=Domain Controller,DC=CONTOSO.COM
  — * FRSRootPath Value : X :\Winnt\Sysvol\Domain

• Utilisez les éditeurs Ldp.exe ou ADSIedit.msc pour modifier la valeur de l’attribut FRSStagingPath. Cet attribut doit indiquer le nouveau chemin d’accès intermédiaire, y compris le nouveau chemin et dossier que vous avez sélectionnés à l’étape 3.
  — * DN path : cn=Domain System Volume (SYSVOL share),CN=NTFRS Subscriptions,CN=DC1,OU=Domain Controller,DC=CONTOSO.COM
  — * FRSStagingPath Value : X :\Winnt\Sysvol\Staging\Domain

• Modifiez le Registre afin d’indiquer le nouveau lecteur et dossier intermédiaires. Pour cela, procédez comme suit :
  — * Cliquez sur Démarrer, sur Exécuter, tapez regedt32, puis cliquez sur OK.
  — * Recherchez la sous-clé de Registre suivante et cliquez dessus avec le bouton droit de la souris : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  — * Cliquez avec le bouton droit sur la valeur SYSVOL, puis cliquez sur Modifier. Tapez un nouveau chemin pour la racine du jeu de réplicas SYSVOL. Par exemple, tapez X :\Winnt\sysvol\sysvol.

• Configurez FRS pour effectuer une restauration ne faisant pas autorité du jeu de réplicas SYSVOL. Pour cela, procédez comme suit :
  — * Recherchez la sous-clé de Registre suivante, puis cliquez dessus : \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
  — * Cliquez avec le bouton droit sur la valeur BurFlags, puis cliquez sur Modifier. Définissez cette valeur sur l’hexadécimal D2 si d’autres contrôleurs de domaine figurent dans le même domaine. Définissez la valeur BurFlags sur l’hexadécimal D4 si un seul contrôleur de domaine figure dans le domaine.

Important Ne redémarrez pas FRS maintenant.

Remarque Si le contrôleur de domaine héberge des racine ou des liens DFS de réplication FRS, vous pouvez si vous le souhaitez définir la clé de Registre BurFlags spécifique au jeu de réplicas afin d’empêcher une interruption de service temporaire et une nouvelle réplication de données dans des racines ou des liens DFS de réplication FRS.

Pour plus d’informations, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft. 290762 (http://support.microsoft.com/kb/290762/) Utilisation de la clé de Registre BurFlags pour réinitialiser des jeux de réplicas FRS 8. Appliquez des autorisations par défaut au nouveau chemin de l’arborescence SYSVOL. Pour cela, copiez le texte suivant, puis collez-le dans un fichier Bloc-notes :

[Unicode]

Unicode=yes

[Version]

signature="$CHICAGO$"

Revision=1

[Profile Description]

Description=default perms for sysvol

[File Security]

;"%SystemRoot%\SYSVOL",0,"D:AR(A ;OICI;FA ;; ;BA)"

;--------------------------------------------------------------------------------

;Sysvol. THIS ENVIRONMENT VARIABLE MUST BE SET

;--------------------------------------------------------------------------------

"%Sysvol%",2,"D:P(A ;CIOI;GRGX ;; ;AU)(A ;CIOI;GRGX ;; ;SO)

(A ;CIOI;GA ;; ;BA)(A ;CIOI;GA ;; ;SY)(A ;CIOI;GA ;; ;CO)"

"%Sysvol%\domain\policies",2,"D:P(A ;CIOI;GRGX ;; ;AU)

(A ;CIOI;GRGX ;; ;SO)(A ;CIOI;GA ;; ;BA)(A ;CIOI;GA ;; ;SY)(A ;CIOI;GA ;; ;CO)

(A ;CIOI;GRGWGXSD ;; ;PA)"

• Utilisez les paramètres suivants pour enregistrer le contenu du fichier Bloc-Notes que vous avez créé à l’étape 8 :
  — * Nom du fichier : %systemroot%\security\templates\sysvol.inf
  — * Type : Tous les fichiers
  — * Codage : Unicode

Remarque La variable d’environnement SYSVOL doit être définie pour pointer sur le nouvel emplacement. Si ce n’est pas le cas, la commande Secedit n’aboutira pas.

• Importez le modèle de sécurité SYSVOL. Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK. Tapez la commande suivante et appuyez sur ENTRÉE : secedit /configure /cfg %systemroot%\security\templates\sysvol.inf /db %systemroot%\security\templates\sysvol.db /overwrite

• Utilisez la commande Linkd pour mettre à jour les points d’analyse dans le système de fichiers afin d’indiquer le nouveau chemin de l’arborescence SYSVOL. Par exemple, si votre contrôleur de domaine figure dans le domaine CONTOSO.COM, et si l’arborescence SYSVOL se trouve dans le dossier X :\Windows\Sysvol, tapez les commandes suivantes à l’invite de commandes sur votre contrôleur de domaine. Appuyez sur ENTRÉE après chaque commande. linkd X :\Winnt\Sysvol\Sysvol\CONTOSO.COM X :\Winnt\Sysvol\Domain linkd X :\Winnt\Sysvol\Staging areas\CONTOSO.COM X :\Winnt\Sysvol\Staging\Domain Remarque Assurez-vous que l’arborescence de répertoires SYSVOL est créée avant d’exécuter la commande Linkd . La commande échoue s’il n’y a pas de données dans le répertoire ou les sous-répertoires CONTOSO.COM. 

• Redémarrez FRS.
• Recherchez dans le journal des événements FRS des événements qui indiquent que le jeu de réplicas est joint et que le dossier SYSVOL est modifié. Vous pouvez trouver, par exemple, un événement semblable au suivant :

Type de l’événement : Information

Source de l’événement : NtFrs

Catégorie d’événement : aucun

ID d’événement : 13553

Ordinateur : nom_contrôleur_domaine

Description : Le service de réplication de fichiers a correctement ajouté

cet ordinateur au jeu de réplicas suivant : « DOMAIN SYSTEM VOLUME

(SYSVOL SHARE) »

Dans l’exemple de cet article, l’événement comporterait les informations suivantes : Le nom DNS de l’ordinateur est « DC1.CONTOSO.COM » Le nom de membre du jeu de réplicas est « DC1 » Le chemin racine du jeu de réplicas est « x :\winnt\sysvol\domain » Le chemin d’accès intermédiaire du réplica est « d :\winnt\sysvol\staging\domain » Le chemin de travail du réplica est « c :\winnt\ntfrs\jet »

• Sur le contrôleur de domaine, utilisez la commande net logon ou net view pour vérifier que le contrôleur de domaine partage les dossiers Netlogon et Sysvol. si les dossiers partagés n’existent pas, procédez comme suit :
  — * Si la sous-clé de Registre \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\Sysvolready a la valeur 1, redémarrez le service Netlogon. Si la valeur de cette sous-clé est 0, passez à l’étape c.
  — * Recherchez de nouveau les dossiers partagés. Si les dossiers ne sont toujours pas disponibles, tapez la commande suivante à l’invite de commandes, puis appuyez sur ENTRÉE : nltest /dbflag:2080FFFF

Recherchez les erreurs dans le fichier %Systemroot%\Debug\Netlogon.log.
— * Si la sous-clé de Registre \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\Sysvolready à la valeur 0, n’attribuez pas la valeur 1 à la clé de Registre. Passez en revue les journaux de débogage FRS dans le dossier %Systemroot%\Debug afin de vérifier qu’une réplication FRS entrante et sortante a lieu.

• Redémarrez les services que vous avez arrêtés .