mercredi 28 octobre 2009

Les limites d’Active Directory

Nombre maximum de GPO pouvant s’appliquer sur un objet (user/ordinateur): 999


Nombre Maximum de Servers DNS dans une zone intégrée à l’AD:
  • 850 (Windows 2000)
  • 1300 (Windows 2003)
Nombre maximum de DC dans un domaine: 1200

Nombre maximum de membres dans un groupe:
  • 5000 (Windows 2000)
  • Illimité sous Windows 2003 et apres
Nombre maximum de Servers DHCP dans une forêt:
  • 850 (Windows 2000 SP1 or RTM),
  • Illimité sous (Windows 2000 SP2 et +, Windows 2003, Windows 2008)
Nombre maximum de suffixes UPN qui peuvent être définis via l’interface : 850 (Possible d’en mettre plus via scripts ADSI)
Publié par à Aucun commentaire:

samedi 10 octobre 2009

Créez une infrastructure DNS dynamique au moyen d’un fichier batch

Pour mettre en place un AD (Active Directory), nous avons maintenant besoin d’une infrastructure DDNS (dynamic DNS).
Dans mon exemple, je crée une forêt à un seul domaine appelée ecm.era qui contient deux DC : UpDC..ecm.era à 10.160.1.2 et DownDC.ecm.era à 10.70.7.2. Les subnets 10.160 et 10.70 utilisent tous deux un masque subnet 255.255.255.0 (classe c) et je veux que chaque machine soit à la fois un DC et un serveur DNS. Les deux systèmes bénéficient de copies récemment installées de Windows 2003 ou de Win2K Server, ainsi que du serveur DNS de Microsoft, livré avec les deux OS. La pile IP de chaque système est déjà constituée à l’aide des fichiers batch des articles précédents et le suffixe DNS de chaque système est défini comme bigfirm.biz. L’objectif de mon dernier fichier batch est d’installer DNS sur chaque système. UpDC sera le serveur DNS primaire pour ecm.era et pour une zone de consultation inversée 10. 160.1.x, et ce sera le serveur DNS secondaire pour une zone de consultation inversée 10.70.7.x. DownDC sera un serveur DNS secondaire pour ecm.era et pour la zone de consultation inversée 10.160.1.x, et ce sera le serveur DNS primaire pour la zone de consultation inversée 10.70.70.x.



  • dnscmd
    Mon outil primaire pour la configuration DNS ligne de commande est Dnscmd qui est le dossier Windows 2003 Support Tools et le Microsoft Windows 2000 Resource Kit. Je dois installer cet outil sur UptownDC et DowntownDC. Dnscmd est puissant mais a une syntaxe plutôt compliquée, aussi j’espère que les exemples de ces fichiers batch vous seront utiles.Premièrement, pour créer la zone ecm.era, utilisez la commande
    dnscmd localhost /zoneadd ecm.era /primary /file ecm.era.dns

    Le paramètre localhost indique à Dnscmd le serveur DNS auquel il doit appliquer la commande. Comme j’utilise ce fichier batch directement sur UpDC, localhost suf f i t . Cependant, la possibilité d’action à distance de l’outil signifie que je pourrais simplement installer Dnscmd sur une boîte Windows XP et exécuter le fichier batch pour mettre en place UpDC et DownDC – en supposant que je puisse m’y connecter et que j’aie établi les références appropriées. Le paramètre /zoneadd crée une nouvelle zone sur localhost ; dans ce cas, le nom de la zone est ecm.era. Le paramètre /primary fait de la zone une zone primaire. L’objectif du paramètre /file bigfirm. dns sera clair pour quiconque a déjà utilisé le wizard pour établir une zone DNS. Microsoft DNS a besoin d’un fichier dans lequel stocker l’information de la zone. ecm.era résidera dans \windows\system32\dns\ecm.era (dans Windows 2003) ou \winnt \system32\dns\ecm.era (dans Win2K).




  •  premier script 
En lieu et place du paramètre /primary, vous pouvez utiliser le paramètre /secondary pour créer une zone DNS secondaire ou le paramètre /DsPrimary pour créer des zones intégrées à l’AD. Si vous me demandez pourquoi je ne crée pas une zone intégrée à l’AD, souvenez- vous qu’AD n’est pas encore opérationnel dans mon cas. Je pourrai passer de primary à intégré à l’AD plus tard, en utilisant la commande

dnscmd localhost /zoneresettype /DsPrimary

 La commande dnscmd /zoneadd parachève presque la préparation initiale de la zone, mais il reste encore une tâche à accomplir : valider les mises à jour dynamiques. Pour cela, utilisez la commande
dnscmd localhost /config ecm.era /AllowUpdate 1

 Ensuite, je veux dire à la zone bigfirm. biz qu’elle aura deux serveurs DNS – Name Servers (NS) en jargon DNS – appelés uodc et downdc. Microsoft DNS installe automatiquement un enregistrement NS pour le serveur que vous utilisez comme serveur DNS primaire d’une zone, donc uodc est couvert ; mais je dois ajouter l’enregistrement DNS pour downdc. Pour cela, j’insèrerai en principe un enregistrement NS dans la zone, de la manière suivante : @ ns downdc.ecm.era

Dans cet enregistrement, le symbole arobas (@) signifie que cet enregistrement fait référence à la zone courante, ns indique que vous ajoutez un NS à cette zone et downdc.bigfirm. biz est le nom de ce NS. Toutefois, le seul fait de dire à la zone ecm.era que j’ai un NS appelé downdc.bigfirm. biz ne termine pas la tâche. Le serveur DNS hébergeant la zone a aussi besoin de l’adresse IP de Downtown- DC. C’est pourquoi je vais aussi inclure un enregistrement hôte pour dire à la zone que downdc.ecm.era a une adresse IP de 10.0.02 : downdc A 10.70.7.2

Vous pouvez aussi utiliser la commande Dnscmd /recordadd pour ordonner au fichier batch d’insérer les enregistrements NS et hôte :

dnscmd localhost /recordadd ecm.era @ NS downdc.ecm.era dnscmd localhost /recordadd ecm.era downdc A 10.70.7.2 
  •  Serveur de nom 
Comme auparavant, la commande commence par nommer l’hôte (localhost, dans cet exemple) auquel s’appliquera l’opération. Ensuite, l’option /recordadd a besoin de la zone à laquelle s’ajoutera l’enregistrement, suivie par l’enregistrement particulier à ajouter.
Vous vous demandez peut-être pourquoi je me soucie des enregistrements NS. Si vous avez déjà eu l’occasion de bricoler avec un serveur DNS basé sur Microsoft, vous savez probablement qu’il n’est pas vraiment nécessaire de nommer les serveurs DNS secondaires d’une zone donnée. Je vois souvent des zones DNS basées sur Microsoft avec juste un enregistrement NS pour le serveur primaire. Pourquoi se soucier des enregistrements pour votre fichier batch ? Premièrement, par souci de rigueur et de correction, vous devriez vraiment nommer les serveurs de toutes les zones. Deuxièmement, il vaut mieux nommer chaque NS afin de pouvoir sécuriser votre zone.
Pour nommer le serveur DNS secondaire d’une zone dans Win2K, démarrez le snap-in Microsoft Management Console (MMC) DNS, ouvrez le dossier Forward Lookups puis trouvez la zone et faites un clic droit dessus. Choisissez Properties et sélectionnez l’onglet Zone Transfer, sur lequel vous verrez la case Allow zone transfers et plusieurs options. L’option par défaut est To any server. Elle permet essentiellement à quiconque d’établir un serveur DNS et de lui dire qu’il est un serveur DNS secondaire pour une zone donnée sur votre serveur DNS – et ce serveur DNS secondaire indésirable pourrait ensuite demander à votre serveur DNS de transférer tout ce qu’il sait à propos de votre zone DNS. Les autres options incluent Only to servers listed on the Name Servers tab et Only to the following servers, qui vous permettent de fournir une liste de serveurs.


Dans Windows 2003, Microsoft a changé les valeurs par défaut du serveur DNS. Si vous créez une zone avec un serveur DNS basé sur Windows 2003, vous verrez que - par défaut – le serveur transfèrera l’information d’une zone DNS uniquement vers un serveur qui a un enregistrement NS. Donc, si vous utilisez Windows 2003, vous vous réjouirez d’avoir pris le soin de nommer des serveurs DNS secondaires. Et, si vous utilisez Win2K, vous pourriez songer à visiter l’onglet Zone Transfers pour appliquer un peu plus de sécurité sur vos zones existantes.

  •     Zone inverse
Après avoir pris soin de ecm.era, vous pouvez établir la zone de consultation inversée pour 10.160.1.x. Comme auparavant, vous devez utiliser la commande Dnscmd /zoneadd pour créer la zone, la commande Dnscmd /config pour la rendre dynamique et la commande Dnscmd /recordadd pour ajouter downdc comme un serveur DNS secondaire pour la zone :

dnscmd localhost /zoneadd 1.160.10 .in-addr.arpa /primary /file 192.dns dnscmd localhost /config 1.160.10 .in-addr.arpa /AllowUpdate 1 dnscmd localhost /recorddadd 1.160.10 .in-addr.arpa @ NS downdc.ecm.era

Le seul élément qui demande une explication est le nom de la nouvelle zone – 1.160.10.in-addr.arpa. Les zones de consultation inversée ressemblent au numéro de réseau d’un subnet (10.160.0, par exemple) mais elles sont inversées, avec le suffixe inaddr. arpa ajouté. Quand vous inversez 10.160.1, vous obtenez 1.160.10 ; quand vous ajoutez in-addr.arpa, vous avez le nom de la zone.


Bien que je n’aie pas encore créé la zone de consultation inversée pour le subnet 10.0.0 (parce que je n’ai pas encore mis en place downdc, son futur serveur DNS primaire), je veux que uodc soit un serveur DNS secondaire pour la zone de consultation inversée de 10.0.0, donc je pourrais aussi bien créer la zone secondaire pour 10.0.0. Pour cela, je peux utiliser la commande Dnscmd /zoneadd mais avec une syntaxe quelque peu différente. Je dois encore spécifier la zone, le nom de la zone et le nom de son fichier de zone. Mais les zones secondaires ont besoin d’une information supplémentaire : qui est le maître ? Autrement dit, vers quel serveur le serveur DNS secondaire devrait se tourner pour mettre à jour ses données à propos de cette zone ? La commande se présente ainsi

dnscmd localhost /zoneadd 0.0.10 .in-addr.arpa /secondary 10.70.7.2

Le nom de la zone pour le réseau 10.0.0 est le quads inversé avec le suffixe in-addr.arpa. L’option /secondary remplace l’option /primary que l’on a vue dans les commandes Dnscmd /zoneadd précédentes, et notons qu’une adresse IP suit l’option /secondary. C’est l’adresse IP du serveur que ce serveur DNS secondaire devrait regarder pour trouver la toute dernière information sur la zone 7.70.10.in-addr.arpa.


L’ajout d’un Ipconfig /registerdns à la fin de ce type de fichier batch assure que le serveur DNS enregistre l’information la plus à jour sur sa zone. Le résultat est le fichier batch que montre le listing 1.

  •  Pour en finir
Finissons en créant un fichier batch similaire pour downdc – une tâche plus facile. Il vous suffit de faire de downdc un serveur secondaire pour ecm.era et 1.160.10.inaddr. arpa, puis de créer la zone 7.70.10.in-addr.arpa et de la rendre dynamique. Le résultat est le fichier batch du listing 2. Ses trois premières commandes créent les zones secondaires et primaires. La quatrième définit comme dynamique la zone de consultation inversée pour 10.0.0. La cinquième commande ajoute uodc comme un serveur DNS secondaire pour cette zone. Enfin, le fichier batch dit au serveur DNS de s’enregistrer lui-même.


Dnscms a de nombreuses options.
Publié par à Aucun commentaire:
Libellés :

Creation d'un alias serveur

Ceci peut être utile, par exemple si vous voulez migrer des partages sur une machine différente et plutôt que de changer tous les clients vers la nouvelle machine, vous pouvez instantanément définir que la nouvelle machine va répondre à l'ancien nom. Pour définir de nouveaux noms procédez comme suit :
  1. Lancer l'éditeur du registre sur votre nouveau serveur (regedt32.exe)
  2. Aller à la clef   HKEY_Local_Machine\System\CurrentControlSet\Services\LanmanServer\Parameters
  3. Dans le menu Edition sélectionner "Ajouter une valeur" DWORD
  4. Donnez lui ce nom "DisableStrictNameChecking" et la valeur 1
  5. Fermer l'éditeur du registre
  6. Redémarrer la machine
Attention, la création de la clé de registre DisableStrictNameChecking fait fonctionner l'accès au netshare via un alias. Mais cela ne fonctionne pas sur le serveur lui-même.
Publié par à Aucun commentaire:
Libellés :

Roles FSMO

a.    Rôle FSMO Contrôleur de schéma
Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d'effectuer les mises à jour vers le schéma d'annuaire (c'est-à-dire, du contexte de nommage du schéma ou LDAP://cn=schema,cn=configuration,dc=). Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l'annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l'annuaire. Il existe un seul contrôleur de schéma par annuaire.
 
b.    Rôle FSMO Maître d'attribution de noms de domaine
Le détenteur du rôle FSMO Maître d'attribution de noms de domaine est le contrôleur de domaine chargé d'apporter des modifications à l'espace de noms des domaines de niveau forêt de l'annuaire (c'est-à-dire le contexte de nommage Partitions\Configuration ou LDAP://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l'annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes.

c.    Rôle FSMO Maître RID
Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d'un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d'un déplacement d'objet.
Lorsqu'un contrôleur de domaine crée un objet entité de sécurité tel qu'un utilisateur ou un groupe, il joint à l'objet un ID de sécurité (SID) unique. Ce SID est constitué d'un SID de domaine (le même pour tous les SID créés dans un domaine) et d'un ID relatif (RID), unique pour chaque SID d'entité de sécurité créé dans un domaine.

Chaque contrôleur de domaine Windows 200X d'un domaine se voit allouer un pool de RID qu'il peut attribuer aux entités de sécurité qu'il crée. Lorsque le pool de RID d'un contrôleur de domaine tombe en deçà d'un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine d'un annuaire.
 
d.    Rôle FSMO maître d' Infrastructure
Lorsqu'un objet d'un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l'objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d'un objet dans une référence d'objet inter-domaine.
REMARQUE : Le rôle Maître d'infrastructure doit être assuré par un contrôleur de domaine qui n'est pas un serveur de catalogues global. Si le rôle Maître d'infrastructure est exécuté sur un serveur de catalogues global, il arrêtera la mise à jour des informations sur les objets, car il ne dispose pas de références aux objets qu'il ne contient pas. Cela s'explique par le fait qu'un serveur de catalogues global comprend un réplica partiel de chaque objet de la forêt. En conséquence, les références d'objets inter-domaines de ce domaine ne seront pas mises à jour et un avertissement dans ce sens sera consigné dans le journal des événements de ce contrôleur de domaine.

Si tous les contrôleurs de domaine d'un domaine hébergent également le catalogue global, tous contiennent les données actuelles. Peu importe donc quel contrôleur de domaine contient le rôle de maître d'infrastructure.

Rôle FSMO Émulateur PDC

L'émulateur PDC est nécessaire pour synchroniser l'heure dans une entreprise. Windows 2000 inclut l'outil de service de temps W32Time (Windows Time) requis par le protocole d'authentification Kerberos. Tous les ordinateurs Windows 2000 d'une entreprise utilisent une heure commune. L'objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun.

L'émulateur PDC d'un domaine fait autorité pour le domaine. L'émulateur PDC situé à la racine de la forêt acquiert l'autorité pour l'entreprise et doit être configuré de façon à percevoir l'heure d'une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.

Dans un domaine Windows 200X, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes :
i.    Les modifications de mot de passe exécutées par d'autres contrôleurs de domaine du domaine sont répliquées de préférence sur l'émulateur PDC.
ii.    Les échecs d'authentification qui se produisent en raison d'un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l'émulateur PDC avant que l'échec ne soit signalé à l'utilisateur dans un message.
iii.    Le verrouillage de compte est traité sur l'émulateur PDC.
iv.    L'émulateur PDC exécute toutes les fonctionnalités qu'un contrôleur de domaine principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients Windows NT 4.0 ou antérieurs.

Cette partie du rôle d'émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 200X. L'émulateur PDC continue d'exécuter les autres fonctions décrites dans un environnement Windows 2000.

Les informations suivantes décrivent les modifications survenant lors du processus de mise à niveau :
i.    Les clients Windows 200X / XP (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n'effectuent pas les écritures d'annuaire (comme les changements de mots de passe) de préférence sur le contrôleur de domaine qui s'est autoproclamé contrôleur principal de domaine ; ils utilisent n'importe quel contrôleur du domaine.
ii.    Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 200X, l'émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur.
iii.    Les clients Windows 200X / XP (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l'annuaire Active Directory pour localiser des ressources réseau. Ils n'ont pas besoin du service Explorateur d'ordinateur de Windows NT.
Publié par à Aucun commentaire:
Libellés :

Synchronisation Horaire - Net time

1 ENTREES DE REGISTRE POUR LE SERVICE W32TIME
1.1 Présentation
Le service W32Time est un service intégré à Windows 200X. Il assure la synchronisation des paramètres de date et d'heure de tous les ordinateurs d'une entreprise.
Ce document répertorie les entrées de Registre qui contrôlent les aspects de ce service. Si vous modifiez la configuration du service W32Time, vous devez l'arrêter, puis le redémarrer pour que les modifications soient prises en compte.
1.2 Valeur du registre
    • AvoidTimeSyncOnWan : REG_DWORD (facultatif)
        Empêche l'ordinateur de se synchroniser avec un ordinateur d'un autre site.
        0 = le site de la source de temps est ignoré [valeur par défaut]
        1 = l'ordinateur ne se synchronise pas avec une source de temps d'un autre site
    • GetDcBackoffMaxTimes : REG_DWORD (facultatif)
        Nombre maximum de fois que l'intervalle de recul est doublé lorsque plusieurs tentatives successives de recherche d'un contrôleur de domaine échouent. Un événement est consigné à chaque attente de durée maximale.
        0 = l'attente entre plusieurs tentatives successives est toujours minimale et aucun événement n'est consigné.
        7 = [valeur par défaut]
    • GetDcBackoffMinutes : REG_DWORD (facultatif)
        Nombre initial de minutes à attendre avant de rechercher un contrôleur de domaine en cas d'échec de la dernière tentative.
        15 = [valeur par défaut]
    • LocalNTP : REG_DWORD
        Permet de démarrer le serveur SNTP.
        0 = ne démarre pas le serveur SNTP sauf si l'ordinateur est un contrôleur de domaine [valeur par défaut]
        1 = démarre toujours le serveur SNTP
    • NtpServer : REG_SZ (facultatif)
        NtpServer : REG_SZ (facultatif) Permet de configurer manuellement la source de temps. Utilisez le nom DNS ou l'adresse IP du serveur NTP qui sert de référence lors de la synchronisation. Vous pouvez modifier cette valeur à partir de la ligne de commande à l'aide de la commande net time. La valeur n'est pas spécifiée par défaut.
    • Period : REG_DWORD ou REG_SZ
        Permet de contrôler la fréquence à laquelle le service de temps procède à une synchronisation. Si vous spécifiez une valeur de chaîne, vous devez utiliser l'une des valeurs répertoriées ci-dessous. Si vous spécifiez la valeur de chaîne sous forme d'un nombre (65535 par exemple), créez une entrée REG_DWORD. Si vous spécifiez la valeur de chaîne sous forme d'un mot (Bidaily par exemple), créez une entrée REG_SZ.
        0 = une fois par jour
        65535, "BiDaily" = une fois tous les 2 jours
        65534, "Tridaily" = une fois tous les 3 jours
        65533, "Weekly" = une fois par semaine (7 jours)
        65532, "SpecialSkew" = une fois toutes les 45 minutes jusqu'à obtenir 3 synchronisations, puis une fois toutes les 8 heures (3 par jour) [valeur par défaut]
        65531, "DailySpecialSkew" = une fois toutes les 45 minutes jusqu'à obtenir une synchronisation, puis une fois par jour
        freq = fréquence fois par jour
    • ReliableTimeSource : REG_DWORD (facultatif)
        Permet d'indiquer que le temps de cet ordinateur est fiable.
        0 = n'indique pas que cet ordinateur est une source de temps fiable [valeur par défaut]
        1 = indique que cet ordinateur est une source de temps fiable (utile sur un contrôleur de domaine)
    • Type : REG_SZ
        Permet de contrôler la manière dont l'ordinateur se synchronise.
        Nt5DS = se synchronise avec la hiérarchie du domaine [valeur par défaut]
        NTP = se synchronise avec une source configurée manuellement
        NoSync = ne synchronise pas le temps
    • Remarque :
        o Le paramètre Nt5DS ne peut pas utiliser une source configurée manuellement..
        o Les valeurs Adj et msSkewPerDay permettent de préserver les informations relatives à l'horloge d'un ordinateur entre chaque redémarrage. Ne modifiez pas ces valeurs manuellement.

2 CONFIGURATION D’UN SERVEUR DE TEMPS
2.1 INTRODUCTION
Windows inclut l'outil de service de temps W32Time requis par le protocole d'authentification Kerberos. La fonction du service de temps Windows est de s'assurer que tous les ordinateurs d'une organisation exécutant Microsoft Windows 2000 ou une version ultérieure utilisent un temps commun.
Le service de temps Windows utilise une relation hiérarchique qui contrôle l'autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun. Par défaut, les ordinateurs Windows utilisent la hiérarchie suivante :
    • Tous les ordinateurs de bureau clients nomment le contrôleur de domaine d'authentification comme partenaire de temps entrant.
    • Tous les serveurs membres suivent le même processus que les ordinateurs de bureau clients.
    • Tous les contrôleurs de domaine d'un domaine nomment le maître d'opérations du contrôleur de domaine principal comme partenaire de temps entrant.
    • Tous les maîtres d'opérations PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.
    Dans cette hiérarchie, le maître d'opérations du contrôleur de domaine principal à la racine de la forêt devient le serveur de temps faisant autorité pour l'organisation. Il est fortement recommandé de configurer le serveur de temps faisant autorité pour qu'il obtienne le temps d'une source matérielle. Lorsque vous configurez le serveur de temps faisant autorité pour une synchronisation avec une source de temps Internet, il n'y a pas authentification. Il est également recommandé de réduire les paramètres de correction de temps pour vos serveurs et clients autonomes. Ces recommandations apportent davantage de précision et de sécurité à votre domaine.
2.2 Configuration du service de temps Windows pour utiliser une horloge matérielle interne
    • Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
    • Localisez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
    • Dans le volet droit, cliquez avec le bouton droit sur AnnounceFlags, puis cliquez sur Modifier.
    • Dans Édition de la valeur DWORD, tapez A dans la zone Données de la valeur, puis cliquez sur OK.
    • Quittez l'Éditeur du Registre.
    • À l'invite de commandes, tapez la commande suivante pour redémarrer le service de temps Windows net stop w32time && net start w32time
Remarque :
Le maître de contrôleur de domaine principal ne doit pas être configuré pour se synchroniser avec lui-même. Pour plus d'informations sur les raisons pour lesquelles le maître de contrôleur de domaine principal ne doit pas être configuré pour se synchroniser avec lui-même, consultez le site Web suivant pour afficher le document RFC (Request For Comment) 1305 (en anglais) :
http://www.rfc-editor.org/
2.3 Configuration du service de temps Windows pour utiliser une source de temps externe
Pour configurer un serveur de temps interne afin que la synchronisation s'effectue par rapport à une source de temps externe, procédez comme suit :
    • Changez le type de serveur en NTP. Pour cela, procédez comme suit :
        o Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
        o Localisez et cliquez sur la sous-clé de Registre suivante :
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
        o Dans le volet droit, cliquez avec le bouton droit sur Type, puis cliquez sur Modifier.
        o Dans Modification de la chaîne, tapez NTP dans la zone Données de la valeur, puis cliquez sur OK.
    • Définissez AnnounceFlags sur 5.
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
    • Activez NTPServer. Pour cela, procédez comme suit :
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
        o Dans le volet droit, cliquez avec le bouton droit sur Enabled, puis cliquez sur Modifier et mettre 1
    • Spécifiez les sources de temps. Pour cela, procédez comme suit
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
         o cliquez avec le bouton droit sur NtpServer, puis cliquez sur Modifier.
        o Modification de la chaîne, tapez « sntpserver »dans la zone Données de la valeur, puis cliquez sur OK po sntpserver = nom_du_server_sntp,0x1
    • Sélectionnez l'intervalle d'interrogation. Pour cela, procédez comme suit :
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval  (900 est la valeur recommandé )
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection (3600 ou 1800 :=> tps en seconde)
        o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection (3600 ou 1800 :=> tps en seconde)
    • Quittez l'Éditeur du Registre.
    • À l'invite de commandes, tapez la commande suivante pour redémarrer le service de temps Windows net stop w32time && net start w32time.
Publié par à Aucun commentaire:
Libellés :

Deplacer NTDS

COMMENT FAIRE : Utiliser Ntdsutil pour gérer des fichiers Active Directory à partir de la ligne de commande dans Windows 200X

Résumé
Cet article explique étape par étape comment gérer des fichiers Active Directory à partir de la ligne de commande et décrit le principal fichier d'annuaire. Le service d'annuaire de Microsoft Windows 2000 est implémenté sur un gestionnaire de table ISAM (Indexed Sequential Access Method). Il s'agit du même gestionnaire de table que celui utilisé par Microsoft Exchange Server, le service de réplication, l'éditeur de configuration de sécurité, le serveur de certificats, Windows Internet Name Service (WINS) et d'autres composants de Windows 2000. La version de la base de données utilisée par Windows 2000 porte le nom d'ESENT (Extensible Storage Engine)

ESENT est un système de base de données traitée qu utilise des fichiers journaux pour prendre en charge la sémantique de restauration afin de s'assurer que les transactions sont bien validées dans la base de données. Dans l'idéal, vous devez rechercher le fichier de données et les fichiers journaux sur des lecteurs séparés, de manière à améliorer les performances et à prendre en charge la récupération des données en cas de panne d'un disque.

Le fichier de données s'appelle Ntds.dit. Vous pouvez utiliser les commandes du menu Fichier de Ntdsutil pour gérer les fichiers journaux et de données du service d'annuaire.

ESENT propose son propre outil, Esentutl.exe, que vous pouvez utiliser pour accomplir certaines fonctions de gestion de fichier de base de données. Esentutl.exe est installé dans le dossier Winnt\System32. Plusieurs commandes de gestion de fichier de Ntdsutil initient Esentutl, ce qui vous évite d'avoir à apprendre les arguments de ligne de commande de cet outil. Si Ntdsutil initie Esentutl, celui-ci génère une fenêtre séparée configurée avec un historique important, ce qui vous permet de revenir en arrière et de voir tous les indicateurs de progression de Esentutl.

Le service d'annuaire de Windows 2000 ouvre ses fichiers en mode exclusif, c'est-à-dire qu'ils ne peuvent pas être gérés pendant que le serveur fonctionne en tant que contrôleur de domaine.
Retour au début
 
Procédure pour démarrer votre ordinateur en mode Restauration des services d'annuaire
1. Redémarrez votre ordinateur.
2. Une fois les informations du BIOS affichées, appuyez sur F8.
3. Utilisez la touche Bas pour sélectionner Mode Restauration des services d’annuaire (uniquement pour les contrôleurs de domaine Windows 2000) , puis appuyez sur ENTRÉE.
4. Utilisez les touches Haut et Bas pour sélectionner votre ordinateur, puis appuyez sur ENTRÉE.
5. Ouvrez une session en tant qu'administrateur avec votre nom et votre mot de passe.

Procédure pour démarrer Ntdsutil
Ntdsutil.exe se trouve dans le dossier Support Tools du CD d'installation de Windows 2000.
1. Cliquez sur Démarrer, puis sur Exécuter. Dans la zone de texte Ouvrir, tapez ntdsutil.
2. Tapez ? à l'invite de commande pour accéder au fichier d'aide de l'outil.

Procédure pour déplacer la base de données
Vous pouvez déplacer le fichier de données Ntds.dit dans le nouveau dossier spécifié par la variable d'emplacement. Dans ce cas, le Registre est mis à jour de façon que le service d'annuaire utilise le nouvel emplacement après le redémarrage du serveur.
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l’invite de commande de maintenance de fichier, tapez Move DB to Emplacement_du_dossier (où Emplacement_du_dossier est l'emplacement d'un dossier existant créé à cet effet), puis appuyez sur ENTRÉE.
3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Procédure pour déplacer des fichiers journaux
Vous pouvez déplacer le fichier de données Ntds.dit dans le nouveau dossier spécifié par la variable d'emplacement. Dans ce cas, le Registre est mis à jour de façon que le service d'annuaire utilise le nouvel emplacement après le redémarrage du serveur.
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l’invite de commande de maintenance de fichier, tapez Move logs to Emplacement_du_dossier (où Emplacement_du_dossier est l'emplacement d'un dossier existant créé à cet effet), puis appuyez sur ENTRÉE.
3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Procédure pour récupérer la base de données
Vous pouvez utiliser Esentutl.exe pour effectuer une restauration logicielle de la base de données. La restauration logicielle analyse les fichiers journaux et s'assure que toutes les transactions validées qui existent dans le fichier journal sont aussi reflétées dans le fichier de base de données. Le programme de sauvegarde de Windows 200X tronque les fichiers journaux en conséquence.

Les journaux permettent de d'assurer qu'aucune transaction validée n'est perdue en cas de panne de l'ordinateur ou de perte d'alimentation inattendue. Les données de transactions sont d'abord écrites dans un fichier journal, puis dans le fichier de données. Lorsque vous redémarrez votre ordinateur après une défaillance, vous pouvez réexécuter le journ al pour reproduire les transactions qui ont été validées mais non enregistrées dans le fichier de données.
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l'invite de commande de maintenance de fichier, tapez recover et appuyez sur ENTRÉE.
La vérification est affichée.

REMARQUE : nous vous recommandons d'effectuer une analyse sémantique de la base de données.

3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Procédure pour réparer la base de données
AVERTISSEMENT : après avoir terminé la procédure décrite dans cette section, Esentutl.exe effectue une réparation de bas niveau du fichier de base de données. Utilisez la commande repair uniquement sur les conseils d'un personnel de maintenance qualifié, car celle-ci peut provoquer la perte de données. Cette procédure permet de réparer uniquement les données dont ESENT a connaissance. Par conséquent, il se peut que l'opération de réparation élimine des données essentielles au bon fonctionnement du service d'annuaire.
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l'invite de commande de maintenance de fichier, tapez repair et appuyez sur ENTRÉE.
La vérification est affichée.

REMARQUE : nous vous recommandons d'effectuer une analyse sémantique de la base de données.
3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.

Procédure pour définir des chemins
Vous pouvez utiliser la commande set path pour définir le chemin d'accès des éléments suivants :
• Backup : Utilisez ce paramètre avec la commande set path pour définir la cible de sauvegarde de disque à disque sur le dossier spécifié par la variable d'emplacement. Vous pouvez configurer le service d'annuaire de manière à effectuer une sauvegarde en ligne de disque à disque à intervalles planifiés.
• Database : Utilisez ce paramètre avec la commande set path pour mettre à jour la partie du Registre qui identifie l'emplacement et le nom de fichier du fichier de données. Utilisez cette commande uniquement pour recréer un contrôleur de domaine qui a perdu son fichier de données et qui n'est pas restauré au moyen de procédures de restauration normales.
• Logs : Utilisez ce paramètre avec la commande set path pour mettre à jour la partie du Registre qui identifie l'emplacement des fichiers journaux. Utilisez cette commande uniquement si vous recréez un contrôleur de domaine qui a perdu ses fichiers journaux et qui n'est pas restauré au moyen de procédures de restauration normales.
• Working Directory : Utilisez ce paramètre avec la commande set path pour définir la partie du Registre qui identifie le dossier de travail du service d'annuaire sur le dossier spécifié par la variable d'emplacement.

Pour exécuter la commande set path
1. À l’invite de commande de Ntdsutil, tapez files, puis appuyez sur ENTRÉE.
2. À l'invite de commande de maintenance de fichier, tapez set path objetemplacement (où objet est l'un des paramètres décrits ci-dessus et emplacement est le chemin d'accès défini pour cet objet), puis appuyez sur ENTRÉE .
3. Pour quitter l'outil, tapez q à l'invite de commande, appuyez sur ENTRÉE, tapez q , puis appuyez sur ENTRÉE.
Publié par à Aucun commentaire:
Libellés :

Defragmentation D'Active Directory

Présentation
A l’image de la défragmentation d’un disque dur, la défragmentation d’une base Active Directory permet d’optimiser les accès et dans certains cas de récupérer de la place.
Beaucoup de personnes pensent qu’une défragmentation de la base Active Directory  ne procure qu’un gain minime. Pourtant sur une base qui fait plusieurs centaines de Méga Octets, le gain est réellement non négligeable.
Il faut donc effectuer une défragmentation à chaque fois que la base a subi une grosse modification (création de nouveaux utilisateurs, groupes, unités organisationnelles…ou suppression de plusieurs éléments). En effet, à l’image d’un disque, la suppression d’éléments crée des espaces vides qui ne seront jamais comblés.
La défragmentation permet également de gagner de la place, ainsi, lorsque les « trous » dans la base sont comblés, vous gagnerez de précieux Méga Octet, voir centaines de Mo.
Attention : si vous possédé plusieurs contrôleurs de domaine, vous devez savoir qu’une défragmentation doit être effectuée sur chaque serveur. En effet, les changements qu'elle effectue ne sont pas répliqués entre les DC (Contrôleur de domaine). La taille du fichier Ntdis.dit sera donc toujours différente sur les différents contrôleurs de domaine.

Les types de défragmentation
Il faut tout d’abord savoir qu’il existe deux types de défragmentation : l’une est « Online » et l’autre s’effectue « Offline ».
Ainsi la défragmentation Online s’effectue automatiquement, toutes les 12 heures par défaut. Dans ce cas, la base de données sera optimisée, mais sa taille restera inchangée.
Pour rappel, cette base de données se trouve dans le fichier c:\winnt\NTDS\Ntds.dit
Par contre dans le cas d’une défragmentation Offline, l’optimisation de la base est totale. En effet, une nouvelle base de données plus compacte sera générée.

Mise en œuvre d’une défragmentation Offline
1. Redémarrez le contrôleur de domaine. Lorsque votre Windows 2000 serveur démarre, appuyez sur F8. Choisissez  Mode restauration Active Directory (contrôleur de dom. Windows 2000).
2. Par la suite loguez vous en tant qu’administrateur de la station (et non celui du domaine).
3. Cliquez sur Démarrer -> Exécuter. Tapez ntdsutil et entrer.
4. Un prompt doit apparaître, tapez Files puis infos. Dès lors des informations sur la base de données Active Directory doivent être affichées.
5. Saisissez compact to votrelecteur:\votre_répertoire. Dans notre exemple nous allons mettre la nouvelle base Active Directory dans c:\temp

Attention : si le répertoire que vous avez choisi comporte des espaces, vous devez mettre celui ci entre guillemets.

6. Laissez le processus se dérouler jusqu'à ce que vous ayez la main.
7. Vous pouvez quitter le prompt en tapant deux fois quit.
8. Il ne vous reste plus qu’à récupérer la nouvelle base dans le répertoire c:\temp et à la repasser sur l’ancienne (par défaut c:\winnt\NTDS\ntds.dit).
9. Maintenant vous pouvez redémarrer. Votre base de données est à présent plus légère et mieux organisée.

Existe t’il une autre méthode pour défragmenter une base Active Directory ?
Oui il existe une autre méthode de défragmentation OffLine, pour cela vous devez utiliser la commande esentutl.
Cet outil sert en réalité à entretenir la base Active Directory (sauvegarde, réparation, contrôle de l’intégrité…).
Dans notre cas nous allons l’utiliser pour défragmenter la base. Rappelez vous que vous devez être en mode sans échec.
Cette méthode est aussi efficace que ntdsutil, mais elle est plus compliquée, elle a donc peu d’intérêts

Conclusion
Dans notre exemple la base ne faisait que 10 Mo, le gain a donc été négligeable. Mais sur une base de données de plus de 100 Mo, une telle optimisation est nécessaire afin d’accélérer les temps de réponse du contrôleur de domaine.
Le seul inconvénient bien entendu, c’est que le contrôleur de domaine sera inaccessible durant quelque minutes.
Mais le gain sera sensible sur l’ensemble de votre domaine.
Publié par à Aucun commentaire:
Libellés :

Augmenter bande passante sous XP

Utilisateurs de Windows XP professionnel, sachez que par défaut, la bande passante disponible sur votre interface réseau est limitée à 80% par le service QoS (Quality of Service).

Pour profiter de 100% de votre bande passante voici ce qu?il faut faire :

1. Connectez vous en tant qu'administrateur

2. Cliquer sur Démarrer, puis Executer et tapez : gpedit.msc
La fenêtre stratégie de groupe s'ouvre alors.

3. Cliquez dans modèle d'administration, puis dans réseau et enfin dans planificateur de paquet QoS .
Double cliquez ensuite sur limiter la bande passante réservable.

La valeur par défaut est 20%, passer la  à 0 pour profiter de 100% de votre interface réseau.

Il vous faudra redémarrer l'ordinateur pour que Windows prenne en compte la modification.
Publié par à Aucun commentaire:
Libellés :

Comment réinitialiser ou Changer le numéro de série de Microsoft Office 2007

Vous avez peut etre un soucis avec la validation WGA,OGA qui vous sort que votre license office n'est pas officielle alors que cela fonctionné quelques heures avant et que votre produit a ete acheté en format boite (RETAIL) ou en volume (VLK).

voici la solution :

1. Fermez tous les logiciels Microsoft Office
2. Click sur le bouton demarrer puis executer
3. Tapez “regedit” (sans les quotes) et faire Ok ou appuyez sur Enter
4. Allez sur la clé de registre suivante
HKEY_LOCAL_MACHINE \Software\Microsoft\Office\12.0\Registration

et vous trouvez une sous cle qu type
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\Registration\{00000000-0000-0000-0000-000000000000}

5. Faire un backup de cette clé
6. Cherchez les deux valeurs suivante et faite un delete puis yes
• DigitalProductID

• ProductID

7. Sortez de l editeur de registre.

8. Lancer une application office, il vous sera demandé votre numero de série a 25 characteres.

9. Faite installer maintenant, une reconfiguration se produira.

10. A la fin relancez la validation

c'est tout
Publié par à Aucun commentaire:
Libellés :
Inscription à : Articles (Atom)