Active directory_Volume2
February 18, 2017 | Author: hakimox7 | Category: N/A
Short Description
Download Active directory_Volume2...
Description
PRODUIT OFFICIEL DE FORMATION MICROSOFT
6238B
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008 Volume 2
N'oubliez pas d'accéder au contenu de formation supplémentaire du CD-ROM d'accompagnement du cours qui se trouve au dos de votre livre.
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
xv
Table des matières Module 10 : Configuration du système DNS Leçon 1 : Concepts, composants et processus DNS Leçon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS Atelier pratique A : Installation du service DNS Leçon 3 : AD DS, DNS et Windows Leçon 4 : Configuration et administration avancées du système DNS Atelier pratique B : Configuration avancée du système DNS
10-4 10-26 10-39 10-44 10-69 10-83
Module 11 : Administration des contrôleurs de domaine des services de domaine Active Directory® (AD DS) Leçon 1 : Options d'installation des contrôleurs de domaine Atelier pratique A : Installation des contrôleurs de domaine Leçon 2 : Installation d'un contrôleur de domaine Server Core Atelier pratique B : Installation d'un contrôleur de domaine Server Core Leçon 3 : Gestion des maîtres d'opérations Atelier pratique C : Transfert des rôles Maîtres d’opérations Leçon 4 : Configuration de la réplication FS-R de SYSVOL Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL
11-4 11-33 11-41 11-50 11-55 11-74 11-79 11-87
Module 12 : Gestion des sites et de la réplication Active Directory Leçon 1 : Configuration des sites et des sous-réseaux Atelier pratique A : Configuration des sites et des sous-réseaux Leçon 2 : Configuration des partitions d'application et du catalogue global Atelier pratique B : Configuration des partitions d'application et du catalogue global Leçon 3 : Configuration de la réplication Atelier pratique C : Configuration de la réplication
12-4 12-23 12-27 12-42 12-48 12-75
xvi
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Module 13 : Continuité du service d'annuaire Leçon 1 : Surveillance d'Active Directory Atelier pratique A : Surveillance des événements et des performances d'Active Directory Leçon 2 : Gestion de la base de données Active Directory Atelier pratique B : Gestion de la base de données Active Directory Leçon 3 : Sauvegarde et restauration des services AD DS et des contrôleurs de domaine Atelier pratique C : Sauvegarde et restauration d'Active Directory
13-4 13-29 13-48 13-66 13-74 13-89
Module 14 : Gestion de plusieurs domaines et forêts Leçon 1 : Configuration des niveaux fonctionnels des domaines et des forêts Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forêts Leçon 2 : Gestion de plusieurs domaines et des relations d'approbation Atelier pratique B : Administration d'une relation d'approbation
14-4 14-16 14-23 14-70
10-1
Module 10 Configuration du système DNS Table des matières : Leçon 1 : Concepts, composants et processus DNS
10-4
Leçon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS
10-26
Atelier pratique A : Installation du service DNS
10-39
Leçon 3 : AD DS, DNS et Windows
10-44
Leçon 4 : Configuration et administration avancées du système DNS
10-69
Atelier pratique B : Configuration avancée du système DNS
10-83
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Vue d'ensemble du module
Windows® et les services Active Directory® dépendent fortement du système DNS (Domain Name System, ou Système de nom de domaine). Vous êtes très certainement familiarisé avec le système DNS car vous l'utilisez déjà en tant qu'informaticien qui assiste les utilisateurs, les applications, les services et les systèmes qui en dépendent. Dans ce module, vous allez découvrir comment implémenter DNS pour prendre en charge la résolution des noms au sein de votre domaine Active Directory Domain Services (AD DS) et hors de votre domaine et de votre réseau intranet.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
comprendre la structure, les rôles et le fonctionnement du système DNS ;
•
décrire les processus de résolution des noms de client et de serveur ;
•
installer le service DNS ;
•
gérer les enregistrements DNS ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-2
10-3
•
configurer les paramètres du serveur DNS ;
•
comprendre l'intégration entre AD DS et DNS ;
•
choisir un domaine DNS pour un domaine Active Directory ;
•
créer une délégation de zone pour un nouveau domaine Active Directory ;
•
configurer la réplication pour des zones intégrées à Active Directory ;
•
décrire l'objectif des enregistrements Service Locator (SRV) dans le processus de localisation des contrôleurs de domaine ;
•
comprendre le fonctionnement des serveurs DNS en lecture seule ;
•
comprendre et configurer la résolution des noms en une partie ;
•
configurer les paramètres avancés du serveur DNS ;
•
auditer, gérer et dépanner le rôle de serveur DNS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Leçon 1
Concepts, composants et processus DNS
Le système DNS est un composant indispensable et sensible pour une entreprise Windows. Dans cette leçon, vous allez revoir le rôle, la structure et le fonctionnement du système DNS. Vous allez également examiner de manière approfondie les processus utilisés pour résoudre les requêtes DNS. Bien que la plupart de ces informations puissent vous sembler familières, cette leçon permettra de s'assurer que vous connaissez parfaitement les concepts et la terminologie du système DNS.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
comprendre la structure, les rôles et le fonctionnement du système DNS ;
•
décrire les processus de résolution des noms de client et de serveur ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-4
10-5
Pourquoi utiliser le système DNS ?
Points clés DNS sert à répondre aux requêtes des clients qui demandent des informations sur les services et les systèmes distants. La plupart du temps, DNS sert à répondre à un client qui demande l'adresse d'un certain nom DNS. Les utilisateurs, et donc les applications, ont tendance à préférer employer des noms pour faire référence à des systèmes. Les ordinateurs, pour leur part, se localisent mutuellement par leurs adresses IP. Le système DNS sert à convertir ou « résoudre » les noms en adresses. Par exemple, si un utilisateur affiche http://technet.microsoft.com dans son navigateur, le nom technet.microsoft.com doit être converti pour obtenir l'adresse IP du serveur Web concerné. Le client interroge son serveur DNS et, suite à une série de processus qui seront expliqués tout au long de cette leçon, le serveur DNS renvoie l'adresse IP du serveur Web : 207.46.16.252.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Hiérarchie du système DNS
Points clés Les noms utilisés dans le système DNS créent une hiérarchie, depuis une racine et en passant à travers une série d'espaces de noms appelés domaines pour atteindre un enregistrement individuel conduisant à un service ou un système (hôte). Pour les êtres humains, un nom tel que technet.microsoft.com se lit de gauche à droite, de sa partie la plus spécifique (le nom de l'hôte individuel), technet, jusqu'à sa partie la plus générique, com. Le nom peut être résolu en partant de la racine de l'espace de noms DNS jusqu'à la partie générique, le domaine du niveau supérieur (com), jusqu'au domaine plus générique (microsoft) pour arriver au nom d'hôte le plus spécifique (technet). Les domaines du niveau supérieur (Top-level domains ou TLD) tels que .com sont réglementés de manière très stricte par les autorités qui régissent le réseau Internet. Il existe un nombre limité de TLD, dont .com, .net, .org, .gov, .mil et .edu. Chaque pays possède également son propre TLD respectant sur les normes ISO, par exemple .us, .ca, .uk, .fr et .za.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-6
10-7
Au-dessus de chacun de ces TLD se trouve la racine de l'espace de noms DNS, qui est représentée par un point (« . »). Le point représentant la racine est généralement ignoré dans les noms DNS. Cependant, il est intéressant de savoir que le nom technet.microsoft.com pourrait être représenté plus précisément par technet.microsoft.com., avec son point final.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Zones
Points clés Pour qu'un serveur DNS puisse résoudre les requêtes des clients, par exemple en renvoyant l'adresse IP d'un autre ordinateur, ce serveur DNS doit posséder une base de données. Cette base de données est appelée zone. Une zone est une base de données qui prend en charge la résolution d'une certaine partie de l'espace de noms DNS, en commençant par un domaine spécifique tel que contoso.com. Un serveur qui héberge une zone pour un domaine est qualifié de serveur faisant autorité pour ce domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-8
10-9
Enregistrements de ressource
Points clés Au sein d'une zone (la base de données DNS) se trouvent des enregistrements appelés Enregistrements de ressource ou RR (Resource Records). Il existe plusieurs types d'enregistrements de ressource, notamment : •
Enregistrements d'adresse (A ou AAAA) (également appelés Hôte) : ces enregistrements résolvent un nom en adresse IP. Ils sont utilisés dans la requête DNS standard que vous associez au système DNS. Les enregistrements A convertissent un nom en adresse IPv4. Les enregistrements AAAA convertissent un nom en adresse IPv6.
•
Les enregistrements à nom canonique (CNAME) (également appelés Alias) : ces enregistrements font correspondre un alias avec un autre nom complet. Les enregistrements d'alias vous permettent d'associer plusieurs noms à un seul serveur. Ils vous évitent de devoir mettre à jour manuellement chaque enregistrement lorsque l'adresse IP du serveur change. Il vous suffit de modifier l'enregistrement A du serveur, et tous les enregistrements CNAME (faisant référence au serveur par son nom et non son adresse) continueront de fonctionner.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Enregistrements de serveur de messagerie (MX) : l'enregistrement MX contient le nom du serveur de messagerie d'un domaine. Vous pouvez considérer l'enregistrement MX comme un type d'alias, mais l'alias est toujours appelé MX. Ainsi, quelle que soit la langue ou la convention d'appellation utilisée par un domaine, son serveur de messagerie peut toujours être localisé par une requête de MX.domain.
•
Enregistrements du Service de nom (NS) : ces enregistrements pointent vers les serveurs DNS faisant autorité pour un domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-10
10-11
Gestion des enregistrements de ressource
Points clés Les enregistrements des ressources d'une zone peuvent être créés et gérés manuellement par un administrateur. Sinon, des mises à jour dynamiques peuvent être activées, au travers des systèmes capables d'inscrire leurs propres enregistrements DNS. Si une zone est configurée pour les mises à jour dynamiques, il existe un risque de création d'enregistrements non autorisés. Par exemple, un individu peut créer un enregistrement appelé www et pointant vers un serveur autre que le serveur Web approprié pour un domaine. Il est alors question d'usurpation. Pour réduire les risques d'usurpation, le système DNS de Windows Server prend en charge les mises à jour dynamiques sécurisées. Pour pouvoir actualiser la zone DNS, les clients doivent s'authentifier auprès du domaine et ne peuvent mettre à jour que leurs propres enregistrements DNS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Réplication d'une zone
Points clés La base de données DNS, ou zone, est un composant important de toute infrastructure réseau. Comme tous les autres services sensibles, chaque organisation doit s'efforcer de posséder deux serveurs DNS disponibles pour ses clients afin de bénéficier de la redondance. La base de données DNS peut être stockée et répliquée dans plusieurs serveurs DNS de l'une des deux manières suivantes : •
Comme les autres implémentations DNS traditionnelles, les serveurs DNS Windows peuvent stocker une zone dans un fichier. Un seul serveur DNS peut écrire dans la zone : celui qui héberge la zone principale. Les autres serveurs DNS copient la zone et en créent une copie en lecture seule appelée zone secondaire. Le processus de copie de la zone est appelé transfert de zone. Tout serveur DNS hébergeant une zone secondaire a besoin d'autorisations pour accéder au serveur à partir duquel il copie la zone.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-12
•
10-13
Lorsque des zones DNS sont hébergées par des contrôleurs de domaine, vous avez la possibilité de stocker leur contenu dans Active Directory lui-même, ce qui crée une zone intégrée à Active Directory. Les données de zone sont répliquées avec la même méthode multiples maîtres que les autres données Active Directory. Ceci s'avère particulièrement important lorsque les mises à jour dynamiques sont activées. En effet, les clients inscriront leurs enregistrements avec leur principal serveur DNS, qui est interne à leur site. Toute zone peut également être répliquée de manière incrémentielle : seuls les enregistrements qui ont été modifiés sont répliqués. Cette méthode est nettement plus efficace que le transfert de zone traditionnel de la totalité du fichier.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Sous-domaines
Points clés Comme nous l'avons mentionné précédemment, toute zone prend en charge la résolution d'une partie spécifique de l'espace de noms DNS, commençant par un domaine tel que contoso.com. Vous pouvez créer des sous-domaines dans une partie de l'espace de noms DNS pour laquelle vous faites autorité. Par exemple, si vous gérez l'espace de noms contoso.com, vous pouvez créer un sous-domaine appelé europe.contoso.com. Il existe trois options pour créer un sous-domaine tel que europe.contoso.com : •
Sous-domaine : une zone démarre au niveau d'un domaine et peut contenir un ou plusieurs sous-domaines. Si une zone contient un sous-domaine, elle comprend tous les enregistrements nécessaires pour la résolution de ce sous-domaine, et le serveur DNS fait autorité pour ce sous-domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-14
10-15
•
Délégation : une délégation est un « lien » vers un sous-domaine, créé par un ou plusieurs enregistrements NS pointant vers un ou plusieurs serveurs de noms faisant autorité pour ce sous-domaine. Tout enregistrement NS pointe vers un nom ou une adresse IP du serveur de noms d'un sous-domaine. Si l'enregistrement NS pointe vers un nom, il doit également y avoir un enregistrement hôte (A) pour le serveur du domaine parent. Les enregistrements NS sont générés lorsque vous créez la délégation. Cependant, si vous devez changer les adresses IP ou les noms des serveurs de l'espace de noms, vous devez mettre les enregistrements NS à jour manuellement.
•
Zone de stub : une zone de stub est très similaire à une délégation. Cependant, les enregistrements NS qui pointent vers le serveur de noms sont mis à jour automatiquement dans la zone parente. Cela semble idéal pour gérer les sous-domaines hébergés dans des serveurs DNS distincts, et les zones de stub conviennent parfaitement dans de nombreux environnements. Toutefois, la mise à jour automatique des enregistrements NS exige que le port TCP 53 soit ouvert entre les serveurs de noms hôtes (parents) et tous les serveurs de noms du domaine enfant. Si l'ouverture du port TCP 53 est impossible, vous devez la remplacer par une délégation standard.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Placement des serveurs et des zones DNS
Points clés Dans tout environnement contenant plusieurs domaines, vous pouvez décider de placer des zones et des serveurs DNS de manière à optimiser la résolution des noms pour les clients, le trafic de réplication et la surcharge administrative.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-16
10-17
À gauche de l'illustration, il est possible de voir que la zone parente possède une délégation ou un domaine de stub qui pointe vers les serveurs de noms du domaine enfant. Les demandes d'enregistrements du domaine enfant sont résolues par le serveur DNS qui fait autorité pour ce domaine enfant. Les serveurs de noms peuvent se trouver en Europe afin de prendre en charge les requêtes des clients pour les serveurs et les services basés en Europe. À droite de l'illustration, il est possible de voir que les serveurs DNS hébergent une seule zone qui comprend un sous-domaine pour le domaine enfant. Cette structure augmente le trafic de réplication entre les deux serveurs DNS. Cependant, quel que soit leur emplacement, les clients sont capables de résoudre les noms de tous les domaines à partir du serveur DNS qui fait autorité pour leur emplacement géographique.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Client DNS (Solveur)
Points clés Maintenant que vous savez comment l'espace des noms DNS est hébergé dans les zones des serveurs DNS et comment les domaines enfants sont pris en charge grâce à des délégations, des sous-domaines ou des zones de stub, vous êtes prêt à examiner en détail la manière dont un nom est résolu ou converti en adresse IP. Lorsqu'une application cliente, telle que Microsoft® Internet Explorer®, doit se connecter à un hôte comme technet.microsoft.com, elle appelle l'API GetAddrInfo(), qui transmet le nom de l'hôte au service Client DNS. Le service Client DNS commence par vérifier le cache de résolution DNS (base de données locale et gérée dynamiquement au niveau du client) pour savoir si ce nom a déjà été résolu précédemment. Le cache de résolution DNS est préchargé avec le contenu du fichier HOSTS (%systemroot%\system32\drivers\etc\hosts) lorsque le cache est initialisé durant le démarrage du Client DNS et lorsque le fichier HOSTS est modifié. Dès qu'un nom est résolu avec succès, il est ajouté au cache de résolution DNS. Ainsi, la capacité du client DNS à résoudre les noms localement augmente avec le temps.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-18
10-19
Chaque enregistrement de ressource (RR) contient une valeur de durée de vie (TTL, time-to-live) qui détermine pendant combien de temps l'enregistrement va demeurer dans le cache. Lorsque sa valeur TTL est atteinte, l'enregistrement est retiré du cache. Vous pouvez utiliser la commande ipconfig /displaydns pour examiner le contenu du cache de résolution DNS local, et la commande ipconfig /flushdns pour vider le cache et le recharger avec le contenu du fichier HOSTS. Il est important de savoir que, si un client interroge un serveur DNS pour obtenir un enregistrement de l'hôte et que le serveur DNS renvoie une réponse négative, qui indique que l'enregistrement est introuvable, cette réponse négative est également mise en cache. Si vous créez un enregistrement hôte au niveau du serveur DNS et que vous réitérez la requête, le client échouera car il continue à récupérer cette réponse négative dans son cache jusqu'à ce qu'elle en soit supprimée. Dans ce cas, la commande ipconfig /flushdns peut servir à forcer le client à réinterroger le serveur DNS. Vous pouvez utiliser la commande nslookup.exe pour interroger directement un serveur DNS, en contournant le cache de résolution DNS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Requête envoyée à un serveur DNS
Points clés Si le service client DNS ne parvient pas à résoudre la requête à l'aide du cache de résolution DNS, il interroge le serveur DNS principal. La requête spécifie le type de l'enregistrement demandé (par exemple, une adresse, un hôte ou un enregistrement A) et le nom de l'enregistrement demandé (par exemple, technet.microsoft.com). La requête envoyée au serveur DNS spécifie également si le client présente une requête itérative ou récursive. Les requêtes récursives sont les plus courantes. Elles sont envoyées par un client Windows à son serveur DNS. Les requêtes récursives demandent au serveur DNS de renvoyer une réponse définitive. Lorsqu'un serveur DNS reçoit une requête récursive, il interroge à son tour d'autres serveurs DNS à l'aide d'un processus qui sera décrit dans la prochaine section, jusqu'à ce qu'il soit en mesure de résoudre la requête de son client. Si le serveur DNS est incapable de résoudre la requête de son client, il renvoie une réponse négative, indiquant que le système de noms de domaine n'a aucun enregistrement correspondant à cette requête.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-20
10-21
Si le serveur DNS principal renvoie une réponse négative, indiquant que ce nom ne peut pas être résolu, le client DNS n'interroge pas le serveur DNS secondaire. Les autres serveurs DNS ne sont interrogés que si le serveur DNS principal n'est pas disponible. C'est pourquoi il est important de s'assurer que chaque serveur DNS soit en mesure de résoudre toutes les requêtes de tous les clients qui lui envoient des requêtes. Les clients ont la possibilité d'envoyer une requête itérative. Le serveur DNS tente alors de résoudre la requête localement, à l'aide des processus qui seront décrits dans la prochaine section, et renvoie une résolution (le cas échéant) ou renvoie les informations les plus utiles dont il dispose.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Résolution par le serveur DNS
Points clés Dès qu'il reçoit une requête d'un client, le serveur DNS commence par vérifier les zones hébergées localement. S'il y trouve une résolution, il la renvoie au client sous forme de réponse faisant autorité. S'il n'y trouve aucune réponse, il vérifie alors ses Recherches mises en cache. À l'instar du client DNS, le serveur DNS construit un cache contenant les enregistrements des ressources déjà résolues. Ce cache est initialisé au démarrage du serveur et est alimenté par les enregistrements de ressource (RR) au fur et à mesure de leur résolution par les autres serveurs DNS. Chaque enregistrement est purgé dès que sa durée TTL est atteinte. Si une résolution est découverte dans le cache, elle est renvoyée sous forme de réponse positive.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-22
10-23
Si aucune résolution n'est détectée et que le client a envoyé une requête itérative, le serveur DNS fait de son mieux et renvoie les informations les plus pertinentes dont il dispose. Par exemple, le serveur DNS n'a peut-être pas d'enregistrement RR mis en cache pour l'hôte demandé par le client, mais il peut en avoir un pour le serveur de noms du domaine parent de cet hôte. Dans le pire des cas, le serveur DNS peut indiquer au client de se référer à la liste des serveurs de noms de la racine : c'est-àdire les serveurs DNS qui hébergent la racine (".") de l'espace de noms DNS. Le client accepte toute information renvoyée par le serveur DNS dans le cadre d'une requête itérative et exploite ces informations pour continuer à s'efforcer de résoudre le nom demandé. Si le client a demandé une requête récursive, le serveur DNS poursuit son travail avec les processus décrits dans la prochaine section.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Récursivité
Points clés Si le client a demandé une requête récursive, le serveur DNS poursuit son traitement de la requête pour tenter de la résoudre. En réalité, le serveur DNS transmet la requête par proxy de la part du client. Il est alors question de récursivité. Dans l'exemple de récursivité le plus extrême, le serveur DNS vient de démarrer et son cache est vide. Il ne dispose d'aucun enregistrement NS mis en cache pour les serveurs de noms microsoft.com ou même .com. Dans ce cas, le serveur DNS commence par interroger les serveurs DNS de la racine. Le serveur DNS possède la liste de ces serveurs de racine dans ses « indications de racine ». Il envoie alors au serveur DNS racine une requête itérative pour demander technet.microsoft.com. Les serveurs DNS de la racine ne peuvent pas résoudre technet.microsoft.com. Cependant, ils possèdent dans leur zone les enregistrements NS des serveurs de noms du domaine .com. Ils renvoient alors ces informations en tant que référence. Voici un bon exemple de requête itérative : le serveur DNS racine renvoie sa meilleure estimation et le client (dans ce cas, un serveur DNS) continue le processus.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-24
10-25
Ensuite, le serveur DNS envoie une autre requête itérative au serveur de noms du domaine .com. Là encore, le serveur ne parvient pas à résoudre technet.microsoft.com, mais il peut fournir des enregistrements NS pour microsoft.com comme référence. Grâce à cette référence, le serveur DNS interroge le serveur de noms du domaine microsoft.com. Ce serveur DNS fait autorité (il héberge une zone) ou microsoft.com, et il est en mesure de renvoyer une correspondance exacte pour l'enregistrement de l'hôte technet.microsoft.com. Le serveur DNS met cette résolution en cache et la renvoie au client sous forme de réponse positive.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Leçon 2
Installation et configuration d'un système DNS dans un domaine AD DS
Maintenant que vous avez révisé les concepts, la terminologie et les processus du système DNS et de la résolution des noms, vous êtes prêt à installer et configurer le rôle de serveur DNS dans un domaine AD DS.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
installer le service DNS ;
•
ajouter des zones DNS ;
•
gérer les enregistrements DNS ;
•
configurer les paramètres du serveur DNS ;
•
configurer les paramètres du client DNS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-26
10-27
Installation et gestion du rôle de serveur DNS
Points clés Le rôle de serveur DNS n'est pas installé par défaut dans Windows Server 2008. Comme d'autres fonctionnalités, il est ajouté lorsqu'un serveur est configuré pour tenir ce rôle. Vous pouvez installer le rôle de serveur DNS à l'aide du lien Ajouter un rôle qui apparaît dans le Gestionnaire de serveur. Le rôle de serveur DNS peut également être ajouté automatiquement par l'Assistant Installation des services de domaine Active Directory (dcpromo.exe). Dans cet Assistant, la page relative aux options du contrôleur de domaine vous permet d'ajouter le rôle de serveur DNS. Lorsque le rôle de serveur DNS sera installé, vous disposerez du composant logiciel enfichable DNS Manager pour l'ajouter à vos consoles administratives. Ce composant logiciel enfichable est également ajouté automatiquement aux consoles Server Manager et DNS Manager (dnsmgmt.msc). Pour administrer un serveur DNS distant, ajoutez les outils Remote Server Administrative à votre station de travail administrative fonctionnant sous Windows Vista® SP1 ou une version plus récente.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
L'outil administratif de ligne de commande dnscmd.exe est également ajouté. DNSCmd peut servir à créer des scripts et à automatiser la configuration du système DNS. Pour obtenir de l'aide, tapez dnscmd.exe /? à l'invite de commande.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-28
10-29
Création d'une zone
Points clés Après l'installation d'un serveur DNS, vous pouvez commencer à lui ajouter des zones. Pour créer une zone, cliquez du bouton droit sur le nœud Zones de recherche directe dans l'arborescence de la console et choisissez Nouvelle zone. L'Assistant Nouvelle zone vous guide tout au long de la procédure de création d'une zone. Vous pourrez choisir parmi les trois types de zones : •
Zone principale : le serveur DNS pourra écrire dans cette zone.
•
Zone secondaire : le serveur DNS assurera la maintenance d'une copie d'une zone hébergée par un autre serveur DNS. La zone secondaire est en lecture seule.
•
Zone de stub : le serveur DNS assurera la maintenance de la liste des serveurs de noms d'un autre domaine. Les zones de stub sont traités en détail plus loin dans ce module.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Vous pouvez également choisir de stocker les données de la zone dans Active Directory si le serveur DNS est un contrôleur de domaine. Cela crée une zone intégrée à Active Directory, sujet qui sera traité ultérieurement dans ce module. Si vous désactivez cette option, les données de la zone seront stockées dans un fichier et non dans Active Directory. Après avoir choisi le type de votre zone, vous êtes invité à saisir son nom ou nom complet du domaine de la zone. S'il s'agit d'une zone principale, vous pouvez choisir le mode de gestion des mises à jour, comme décrit à la prochaine section.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-30
10-31
Création d'une zone avec mise à jour dynamique
Points clés Lorsque vous créez une zone, vous êtes invité à spécifier si les mises à jour dynamiques sont prises en charge. Les mises à jour dynamiques réduisent la charge de gestion d'une zone. En effet, les clients peuvent ajouter, supprimer et mettre à jour leurs propres enregistrements de ressource. Les mises à jour dynamiques laissent la porte ouverte aux risques d'usurpation des enregistrements de ressource. Par exemple, un ordinateur peut inscrire un enregistrement appelé www et rediriger efficacement le trafic de votre serveur Web vers une adresse incorrecte. Pour éliminer les risques d'usurpation, le service de serveur DNS de Windows Server 2008 prend en charge les mises à jour dynamiques sécurisées. Tout client doit s'authentifier avant de mettre ses enregistrements de ressource à jour. Ainsi, le serveur DNS sait si le client est un ordinateur autorisé à modifier les enregistrements de ressource.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Création d'enregistrements de ressource
Points clés Dans la plupart des environnements, le besoin d'ajouter des enregistrements de ressource à une zone se présentera souvent, même si les mises à jour dynamiques sont activées. Pour créer un enregistrement de ressource, cliquez du bouton droit sur la zone concernée et choisissez le type d'enregistrement à créer. La boîte de dialogue qui apparaît contient les contrôles de saisie appropriés au type d'enregistrement que vous ajoutez.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-32
10-33
Configuration de serveurs DNS redondants
Points clés Toute entreprise doit s'efforcer d'obtenir une zone qui puisse être résolue de manière faisant autorité par au moins deux serveurs DNS. Si votre zone est intégrée à Active Directory, il vous suffit d'ajouter le rôle de serveur DNS à un autre contrôleur de domaine du même domaine comme premier serveur DNS. Les zones intégrées à Active Directory et la réplication de la zone DNS par AD DS sont décrites dans la prochaine leçon. Si votre zone n'est pas intégrée à Active Directory, vous devez ajouter un autre serveur DNS et le configurer pour qu'il héberge une zone secondaire. N'oubliez pas qu'une zone secondaire est une copie en lecture seule de la zone principale. La première étape de ce processus consiste à configurer la zone elle-même de sorte qu'elle fasse référence aux serveurs secondaires en tant que serveurs de noms de votre zone. Ajoutez les enregistrements NS des serveurs secondaires à la zone parente.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Un serveur secondaire va copier la zone à partir d'un autre serveur DNS, appelé le serveur maître. Le serveur maître n'a pas besoin d'être le serveur principal. Cependant, utiliser la zone principale comme serveur maître présente des avantages évidents. En effet, cela réduit la latence de réplication des mises à jour des enregistrements dans les serveurs secondaires. Le serveur maître doit autoriser les serveurs secondaires à se connecter et à déclencher un transfert de zone. Vous configurez cela dans l'onglet Transferts de zone des propriétés de la zone au niveau du serveur maître, comme suit :
Vous pouvez ajouter la zone secondaire aux zones de recherche directe du serveur secondaire. Le serveur secondaire est configuré pour répliquer la zone à partir du serveur maître.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-34
10-35
Configuration des redirecteurs
Points clés Dans la leçon 1, vous avez appris qu'un serveur DNS tente de résoudre la requête d'un client à l'aide de ses zones locales et de son cache. S'il n'y parvient pas et que la requête envoyée est récursive, le serveur DNS exécute alors la requête de la part du client. La première méthode pour configurer un serveur DNS de sorte qu'il exécute efficacement une requête récursive consiste à lui ajouter des redirecteurs. Les redirecteurs sont des pointeurs vers d'autres serveurs DNS. En général, ces serveurs sont hébergés par votre opérateur Internet (ISP) ou il s'agit de serveurs DNS placés en amont dans l'infrastructure DNS de votre entreprise. Par exemple, votre domaine Active Directory peut utiliser le service Windows DNS Server pour résoudre les noms au sein de ce domaine, puis transmettre les requêtes à vos serveurs DNS, qui hébergent les zones des autres domaines de l'entreprise. Les redirecteurs sont similaires aux serveurs DNS que vous configurez dans les propriétés IP d'une connexion réseau. Cette liste de serveurs DNS est utilisée par le service Client DNS. Elle n'est pas communiquée au service Serveur DNS. Les redirecteurs ont le même objectif que le service Serveur DNS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Si aucun redirecteur n'est configuré, le serveur tente d'interroger un serveur de noms pour obtenir la racine de l'espace de noms DNS (« . »). Ces serveurs racine sont gérés en tant qu'indications de racine. Bien que les serveurs de noms DNS de la racine ne changent pas fréquemment, cela peut arriver parfois. Windows Update comprendra les mises à jour des indications de racine. Il existe plusieurs mécanismes pour améliorer l'efficacité des requêtes récursives, notamment les redirecteurs conditionnels et les zones de stub. Ces options seront abordées dans la leçon 4.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-36
10-37
Configuration des clients
Points clés Pour qu'un serveur DNS soit utile, des clients doivent être configurés pour l'interroger. Le client DNS est différent de tous les composants Active Directory du système d'exploitation Windows. Ainsi, un client ne suppose pas que son contrôleur de domaine est un serveur DNS et un client doit avoir au moins deux serveurs DNS configurés. La configuration peut être établie dans la configuration IP du client, comme dans l'image d'écran suivante :
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
La commande netsh.exe peut également servir à configurer le premier serveur DNS et les suivants pour une connexion réseau, comme dans l'exemple cidessous : netsh interface ipv4 set dns "Local Area Connection" static 10.0.0.11 primary netsh interface ipv4 add dns "Local Area Connection" 10.0.0.12
Une autre méthode consiste à transmettre les serveurs DNS aux clients par le protocole DHCP (Dynamic Host Configuration Protocol) à l'aide de l'option DHCP scope option 6: DNS server. N'oubliez pas que les serveurs secondaires et autres serveurs DNS ne sont pas interrogés si le serveur DNS principal renvoie une réponse négative. Les autres serveurs DNS ne sont interrogés que si le serveur principal ne répond pas ou est déconnecté.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-38
10-39
Atelier pratique A : Installation du service DNS
Scénario Vous êtes administrateur chez Contoso, Ltd. Vous avez récemment ajouté un second contrôleur de domaine à votre entreprise et vous souhaitez ajouter une redondance au serveur DNS qui héberge la zone du domaine. Actuellement, le seul serveur DNS de la zone contoso.com est HQDC01. Vous devez vous assurer que les clients qui interrogent le nouveau serveur DNS, HQDC02, peuvent accéder aux sites Web sur Internet. De plus, il vous a été demandé de configurer un sousdomaine pour prendre en charge la résolution des noms requise pour que l'équipe de développeurs puisse tester une application.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 1 : Ajout du rôle de serveur DNS Dans cet exercice, vous allez ajouter le rôle de serveur DNS à l'ordinateur HQDC02, examiner la zone du domaine qui est automatiquement renseignée au niveau du serveur DNS, puis configurer HQDC02 pour qu'il s'utilise lui-même comme son propre serveur DNS principal. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Ajout du rôle de serveur DNS
3.
Changement de la configuration serveur DNS du client DNS
4.
Examen de la zone de recherche directe du domaine
5.
Configuration de redirecteurs pour la résolution des noms Internet
Tâche 1 : Préparation de l'atelier pratique 1.
Démarrez 6238B-HQDC01-B.
2.
Attendez la fin du démarrage.
3.
Démarrez 6238B-HQDC02-B.
4.
Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
Tâche 2 : Ajout du rôle de serveur DNS 1.
Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Ajoutez le rôle de serveur DNS à HQDC02.
3.
Fermez le Gestionnaire de serveur.
4.
Redémarrez HQDC02. Ouvrez ensuite une session en tant que Pat.Coleman avec le mot de passe Pa$$w0rd. Cette opération n'est pas nécessaire dans un environnement de production, mais cela accélère le redémarrage des services et la réplication des enregistrements DNS dans HQDC02 pour les besoins de cet exercice.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-40
10-41
Tâche 3 : Changement de la configuration serveur DNS du client DNS 1.
Exécutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Tapez netsh interface ipv4 set dnsserver "Local Area Connection" static 10.0.0.12 primary, puis appuyez sur Entrée.
3.
Tapez netsh interface ipv4 add dnsserver "Local Area Connection" 10.0.0.11, puis appuyez sur Entrée.
Tâche 4 : Examen de la zone de recherche directe du domaine 1.
Exécutez le Gestionnaire DNS en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Examinez les enregistrements SOA, NS et A dans la zone de recherche directe du domaine contoso.com.
Tâche 5 : Configuration de redirecteurs pour la résolution des noms Internet •
Configurez deux redirecteurs pour HQDC02 : 192.168.200.12 et 192.168.200.13. Ces serveurs DNS n'existant pas encore, le nom de domaine complet du serveur affichera soit , soit . Dans un environnement de production, vous configureriez les redirecteurs sur les serveurs DNS en amont au niveau d'Internet, généralement ceux fournis par votre opérateur Internet (ISP). Résultats : À la fin de cet exercice, vous aurez ajouté le rôle de serveur DNS à l'ordinateur HQDC02 et simulé la configuration de redirecteurs pour résoudre les noms DNS Internet.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 2 : Configuration de zones de recherche directe et d'enregistrements de ressource Dans cet exercice, vous allez ajouter une zone de recherche directe pour le domaine de développement de Contoso. Vous allez ensuite ajouter un hôte et un enregistrement CNAME à cette zone et vérifier le fonctionnement de la résolution des noms dans la nouvelle zone. Les tâches principales de cet exercice sont les suivantes : 1.
Créer une zone de recherche directe.
2.
Créer l'hôte et les enregistrements CNAME.
3.
Vérifier la résolution des noms.
Tâche 1 : Création d'une zone de recherche directe •
Créez une nouvelle zone de recherche directe appelée development.contoso.com. Il doit s'agir d'une zone principale, stockée dans Active Directory et répliquée dans tous les contrôleurs du domaine contoso.com. Configurez la zone de sorte qu'elle n'autorise pas les mises à jour dynamiques.
Remarque : dans un environnement de production, vous vous contenteriez de la répliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplication rapide et sûre.
Tâche 2 : Création de l'hôte et des enregistrements CNAME 1.
Dans la zone development.contoso.com, créez un enregistrement hôte (A) pour APPDEV01 avec l'adresse IP 10.0.0.24.
2.
Créez un enregistrement CNAME, www.development.contoso.com, qui se résout en appdev01.development.contoso.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-42
10-43
Tâche 3 : Test de la résolution des noms •
À l'invite de commande, tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Examinez le résultat de la commande. Que vous indique-t-il ? Résultats : à la fin de cet exercice, vous aurez créé une nouvelle zone de recherche directe, development.contoso.com, avec un hôte et des enregistrements CNAME, et vérifié que les noms de cette zone sont bien résolus.
Remarque : ne fermez pas les ordinateurs virtuels lorsque vous avez terminé cet atelier pratique car les paramètres configurés ici serviront dans le prochain atelier.
Questions de contrôle des acquis Question : Si vous n'aviez pas configuré des redirecteurs dans HQDC02, quelles auraient été les conséquences pour les clients qui utilisent HQDC02 comme leur serveur DNS principal ? Question : Les clients auraient-ils été capables de résoudre les noms du domaine development.contoso.com si vous aviez choisi une zone DNS autonome plutôt qu'une zone intégrée à Active Directory ? Pourquoi cela se produirait-il ? Que devriez-vous faire pour résoudre ce problème ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Leçon 3
AD DS, DNS et Windows
Vous avez appris à configurer DNS dans un environnement simple, à l'aide des nombreux paramètres par défaut qui prennent en charge les domaines Active Directory prêts à l'emploi. Dans cette leçon, vous allez en apprendre davantage sur les composants et les processus qui prennent en charge les Services de domaine Active Directory (AD DS) et sur les interactions entre AD DS et DNS.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
comprendre l'intégration entre AD DS et DNS ;
•
choisir un domaine DNS pour un domaine Active Directory ;
•
créer une délégation de zone pour un nouveau domaine Active Directory ;
•
configurer la réplication pour des zones intégrées à Active Directory ;
•
décrire la fonction des enregistrements SRV dans le processus d'emplacement des contrôleurs d'un domaine ;
•
comprendre le fonctionnement des serveurs DNS en lecture seule.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-44
10-45
AD DS, DNS et Windows
Points clés Les Services de domaine Active Directory, DNS et le système d'exploitation Windows sont intégrés et interdépendants de nombreuses manières. Dans cette leçon, vous allez examiner dans le détail chacune de ces interactions.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Intégration entre AD DS et l'espace de noms DNS
Points clés Active Directory a besoin du système DNS, et tout domaine AD DS doit avoir un nom de domaine DNS. Le système DNS étant également utilisé en tant qu'espace de noms standardisé et disponible au niveau international, vous devez réfléchir soigneusement à l'emplacement dans lequel vous allez définir votre domaine AD DS au sein de l'espace de noms. Supposons que vous êtes administrateur chez Contoso, Ltd., qui possède le nom de domaine enregistré contoso.com et un site Web à l'adresse www.contoso.com. Si vous planifiez l'espace de noms pour votre domaine AD DS, vous pouvez choisir l'un des éléments suivants : •
Le même nom de domaine que votre nom de domaine DNS externe : contoso.com. Si vous choisissez le même espace de noms, vous devez implémenter le DNS « split-brain », qui est décrit dans la prochaine section.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-46
10-47
•
Un sous-domaine de votre nom de domaine externe : ad.contoso.com. Si vous utilisez un sous-domaine d'un nom de domaine enregistré, l'opération est facile car vous êtes le propriétaire de cette portion de l'espace de noms DNS. Toutefois, soyez prudent et ne vous aventurez pas trop profondément dans l'espace de noms DNS. Les utilisateurs et les administrateurs tapent des noms de domaine complets bien plus fréquemment que vous ne l'imaginez, et un suffixe de domaine trop long rend laborieuse la saisie de chaque nom de domaine complet. De plus, les URL et les UNC ont des longueurs limites à ne pas dépasser et qui sont vite atteintes avec des suffixes DNS à rallonge.
•
Un nom de domaine distinct : contoso.net. Si vous utilisez un nom de domaine distinct pour votre domaine Active Directory, il est recommandé d'enregistrer le domaine de sorte qu'il ne puisse pas être usurpé par une autre entreprise. Vous devez vous assurer de conserver la propriété de cette portion de l'espace de noms DNS.
Dans notre monde moderne de plus en plus connecté, les frontières entre réseau, intranet, extranet et Internet sont brouillées, voire pratiquement invisibles. Il devient de moins en moins possible de maintenir une distinction dans l'espace de noms, et cela pose des problèmes de valorisation. C'est pourquoi de nombreuses organisations choisissent le nom de domaine le plus familier, celui le plus étroitement associé à l'organisation et le plus facile à saisir : le nom de domaine public. Comme nous venons d'en parler et comme se sera mentionné dans la prochaine rubrique, vous devez suivre des étapes pour prendre cette configuration en charge. Cependant, le coût de cette procédure est généralement bien moindre par rapport aux avantages qu'elle offre. Quel que soit votre choix, vous devez gérer la résolution des noms, la protection du périmètre et la sécurité. Vous devez donc produire un niveau d'effort administratif équivalent quel que soit votre choix d'espace de noms. Il est donc judicieux de choisir un nom DNS qui simplifie la vie des utilisateurs de votre espace de noms. Au tout début de l'existence d'Active Directory, il était courant de suggérer ou même de conseiller l'utilisation d'un domaine de niveau supérieur personnalisé, tel que .msft ou même le TLD .local. Suite à l'évolution de notre monde en réseau, dont l'arrivée du protocole IP version 6 (IPv6) et l'hyper connectivité qui en a résulté, ces options doivent être envisagées uniquement après une étude approfondie de leur capacité à prendre en charge les besoins de votre entreprise, de leurs avantages et de leur coût en termes d'administration et d'assistance des utilisateurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
DNS Split-Brain
Points clés Chaque fois que vous utilisez un nom de domaine pour un domaine AD DS également utilisé pour les connexions à votre réseau depuis le monde extérieur, vous devez vous assurer qu'il existe une séparation entre les zones DNS qui fournissent différentes informations au public et aux clients internes. Il est alors question de DNS split-brain. La zone DNS interne doit prendre fidèlement en charge le domaine AD DS, avec tous les enregistrements de ressource pour les serveurs, les clients et les services du domaine. Idéalement, elle autorisera les mises à jour dynamiques sécurisées et stockera ses données dans Active Directory lui-même. La zone DNS accessible de l'extérieur ne doit fournir aux clients externes que les enregistrements de ressource dont ils ont besoin, par exemple www et ftp. Cette zone sera généralement beaucoup plus petite que celle qui assure la prise en charge du domaine en interne. La zone externe sera généralement mise à jour manuellement, et non dynamiquement. Le serveur DNS qui héberge la zone externe sera souvent placé derrière le pare-feu externe, avec uniquement le port 53 ouvert pour lui.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-48
10-49
Vous aurez peut-être besoin d'enregistrements en double dans les deux zones. Si vos utilisateurs internes ont besoin d'accéder au site Web public, tel que www.contoso.com, cet enregistrement de ressource doit être présent dans la zone interne interrogée par les clients. N'oubliez pas que, le serveur DNS interne étant considéré comme faisant autorité pour la zone (comme le serveur externe), il renverra soit une résolution, soit une réponse négative, indiquant que l'enregistrement n'existe tout simplement pas. Il ne peut pas y avoir de seconde requête ou de requête itérative dans la zone externe. Vous devrez donc créer des enregistrements qui sont nécessaires en interne et en externe, tels que www, dans les deux zones.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Création d'une délégation pour un domaine Active Directory
Points clés Dans le Module 1, vous avez créé un nouveau domaine et une forêt Windows Server 2008 AD DS. Lorsque vous avez promu le contrôleur du domaine, vous avez reçu un message indiquant qu'il n'y avait aucune délégation pour le domaine contoso.com. Vous avez ignoré ce message et poursuivi l'établissement du domaine, avec le système DNS au niveau du contrôleur du domaine. Les clients configurés avec l'adresse IP du contrôleur de domaine (DC) pour leur serveur DNS interrogeront le DC et seront capables de résoudre les noms du domaine contoso.com. Toutefois, aucun client externe ne pourra résoudre les noms du domaine contoso.com car il n'y a pas de délégation : aucun enregistrement NS dans le domaine .com qui pointe vers votre serveur DNS faisant autorité. Ceci ne pose pas de problème pour notre cours car votre domaine est isolé comme une île : il est séparé du reste d'Internet et vous n'avez pas besoin de délégation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-50
10-51
Toutefois, au sein d'une forêt, il est important qu'il y ait des délégations entre un domaine parent et un domaine enfant si la zone du domaine enfant est hébergée dans des serveurs DNS distincts. Si le domaine enfant est appelé à être un sous-domaine de la zone existante, aucune délégation n'est nécessaire. Par exemple, si vous souhaitez ajouter un domaine, europe.contoso.com, à l'arborescence des domaines, les clients de contoso.com doivent pouvoir résoudre les serveurs, les services et les autres enregistrements de europe.contoso.com afin de prendre en charge la réplication et l'authentification dans la forêt. Avant d'ajouter un domain enfant à l'arborescence ou une nouvelle arborescence à une forêt, vous devez créer une délégation dans le domaine parent ou dans le domaine racine de la forêt. Pour créer une délégation, cliquez du bouton droit sur la zone du domaine parent, puis choisissez Nouvelle délégation. Vous serez invité à saisir le nom des serveurs du nouveau domaine. Faites alors référence au serveur qui est ou sera le serveur DNS du domaine enfant. Pour créer une délégation pour une nouvelle arborescence de domaines ou pour le domaine racine de la forêt, créez d'abord une nouvelle zone dans la zone DNS racine existante. Dans la nouvelle zone, ajoutez un enregistrement Adresse qui utilise le nom DNS complet du serveur DNS du nouveau domaine. Ajoutez ensuite un enregistrement NS pour le nouveau domaine qui fait référence au nom DNS complet du contrôleur du domaine. Après avoir créé la délégation, vous êtes prêt à configurer le serveur qui sera le premier contrôleur du domaine enfant. Commencez par configurer son serveur DNS pour qu'il pointe vers le serveur DNS dans lequel vous créez la délégation. Installez le rôle DNS à l'aide du Gestionnaire de serveur, puis créez la zone principale du domaine enfant. Vous pouvez également utiliser l'Assistant Installation des services de domaine Active Directory (dcpromo.exe), qui peut installer DNS dans le cadre de l'installation d'AD DS. Après la création du domaine enfant, reconfigurez le serveur DNS enfant pour qu'il s'utilise lui-même en tant que serveur DNS principal. En général, vous ajouterez le serveur DNS parent en tant que redirecteur, redirecteur conditionnel ou zone de stub pour le serveur DNS enfant. D'une manière ou d'une autre, vous devez faire en sorte que les systèmes du domaine enfant puissent résoudre les noms du domaine parent. Pour finir, dans la plupart des scénarios, il est conseillé d'utiliser une zone intégrée à Active Directory et qui prenne en charge les mises à jour dynamiques sécurisées pour le domaine enfant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Zones intégrées à Active Directory
Points clés Dans la leçon 1, vous avez appris qu'un serveur DNS Windows est capable de stocker les données des zones dans la base de données AD DS lorsque le serveur DNS est un contrôleur de domaine AD DS. Ceci crée une Zone intégrée à Active Directory. Les avantages des zones intégrées à Active Directory sont importants : •
Mises à jour multimaître : à la différence des zones principales habituelles, qui ne peuvent être modifiées que par un seul serveur principal, tout contrôleur de domaine peut écrire dans les zones intégrées à Active Directory si elles y sont répliquées. Ceci retire un point de défaillance unique de l'infrastructure DNS. Il est particulièrement important dans les environnements géographiquement distribués qui utilisent des zones à mises à jour dynamiques. En effet, cela permet aux clients d'actualiser leurs enregistrements DNS sans avoir à se connecter à un serveur principal potentiellement éloigné.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-52
10-53
•
Réplication des données d'une zone DNS par réplication AD DS : dans le Module 12, vous allez étudier les mécanismes de réplication efficaces et générateurs de topologie de la réplication AD DS. L'une des caractéristiques de la réplication d'Active Directory est la réplication au niveau des attributs, dans laquelle seuls les attributs modifiés son répliqués. Une zone intégrée à Active Directory peut tirer parti de ces avantages de la réplication Active Directory, au lieu de répliquer la totalité du fichier de la zone comme dans les modèles traditionnels du transfert de zones DNS.
•
Mises à jour dynamiques sécurisées : une zone intégrée à Active Directory peut imposer des mises à jour dynamiques sécurisées.
•
Sécurité granulaire : comme avec d'autres objets Active Directory, une zone intégrée à Active Directory vous permet de déléguer l'administration des zones, des domaines et des enregistrements de ressource en modifiant la Liste de contrôle d'accès (ACL) de l'objet.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Partitions d'application pour les zones DNS
Points clés Toute zone intégrée à Active Directory stocke ses enregistrements dans la base de données AD DS. Ces enregistrements peuvent être stockés dans l'une des partitions suivantes : •
Partition DomainDNSZone : cette partition est répliquée dans tous les contrôleurs de domaine qui sont des serveurs DNS au sein de ce domaine.
•
Partition ForestDNSZones : cette partition est répliquée dans tous les contrôleurs de domaine qui sont des serveurs DNS au sein de la forêt. Ces partitions par défaut sont créées lors de l'installation du système DNS et configurées durant l'installation d'AD DS. Vous pouvez utiliser l'outil de gestion du système DNS ou la commande dnscmd.exe pour créer des partitions après l'installation d'AD DS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-54
•
10-55
Domaine : le Domaine, qui contient également des enregistrements pour les objets, notamment les utilisateurs et les ordinateurs, est répliqué dans tous les contrôleurs de domaine, qu'ils soient ou non des serveurs DNS. Sous Windows 2000, les zones DNS étaient stockées dans le Domaine NC. Si vous avez des contrôleurs de domaine Windows 2000 qui sont également des serveurs DNS, vous devez utiliser cette option de réplication pour prendre ces systèmes en charge. Le choix de vos partitions dépend principalement de la topologie de réplication que vous allez sélectionner pour vos zones DNS. Bien sûr, la zone doit être répliquée dans un serveur DNS pour que ce dernier fasse autorité pour cette zone. Si un serveur DNS n'a pas de réplica de cette zone, il doit avoir un redirecteur ou une zone de stub pour exécuter les requêtes récursives demandant la résolution des noms de cette zone.
•
Partition d'application personnalisée : si les partitions d'application par défaut n'offrent pas le modèle de réplication dont vous avez besoin pour prendre en charge votre infrastructure DNS, vous pouvez créer une partition d'application personnalisée, pour laquelle vous désignez les serveurs qui vont la répliquer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Partitions d'application DNS
Points clés Pour créer une partition d'application, utilisez la commande dnscmd.exe, comme dans l'exemple suivant : dnscmd hqdc01.contoso.com /createdirectorypartition MaZone.contoso.com
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-56
Vous pouvez modifier l'étendue de réplication d'une zone dans ses propriétés. Cliquez sur le bouton Changer accolé à Réplication, comme dans la figure suivante :
10-57
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Mises à jour dynamiques
Points clés Par défaut, les systèmes Windows tentent d'inscrire leurs enregistrements avec leur serveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du client ou via la Stratégie de groupe. Le service Client DHCP est celui qui exécute l'inscription, que l'adresse IP du client soit obtenue auprès d'un serveur DHCP ou quelle soit fixe. L'inscription se produit : •
Lorsque le client démarre et que le service Client DHCP est déjà démarré
•
Lorsqu'une adresse IP est configurée, ajoutée ou modifiée dans toute connexion réseau
•
Lorsqu'un administrateur exécute la commande ipconfig /registerdns
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-58
10-59
Le client tente d'identifier le serveur DNS principal pour la zone. Si la zone n'est pas intégrée à Active Directory, cette opération peut exiger plusieurs itérations dans lesquelles le client identifie un serveur de noms, envoie une mise à jour et est rejeté car ce serveur de noms n'héberge qu'une zone secondaire. Ensuite, si la zone prend en charge les mises à jour dynamiques, le client atteint un serveur DNS autorisé à écrire dans cette zone. Il s'agit du serveur principal pour une zone standard, à base de fichier, ou de tout contrôleur de domaine qui est serveur de noms pour une zone intégrée à Active Directory. Si la zone est configurée pour les mises à jour dynamiques sécurisées, le serveur DNS refuse la modification. Dans ce cas, le client s'authentifie et renvoie la mise à jour. Dans certaines configurations, vous préférerez probablement que les clients ne mettent pas leurs enregistrements à jour, même dans une zone à mises à jour dynamiques. Sinon, vous pouvez configurer le serveur DHCP pour qu'il inscrive les enregistrements de la part des clients. Par défaut, un client inscrit son enregistrement A (hôte/adresse), et le serveur DHCP inscrit l'enregistrement PTR (pointeur/recherche inversée). Les enregistrements PTR sont traités dans la leçon 4.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Chargement de zones en arrière-plan
Points clés Il se peut qu'une zone qui prend en charge un domaine AD DS devienne volumineuse, particulièrement si les enregistrements A des clients sont conservés dans un vaste domaine. Dans les précédentes versions de Windows, le service Serveur DNS prenait beaucoup de temps pour démarrer lorsqu'il devait charger une zone volumineuse. Windows Server 2008 charge les zones en arrière-plan. Cela permet au serveur DNS de commencer à répondre très rapidement aux requêtes. S'il reçoit une requête pour une zone qui n'est pas encore chargée, il s'efforce de la charger rapidement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-60
10-61
Enregistrements SRV
Points clés Les enregistrements de ressource SRV (Service Locator, ou Service Localisateur) résolvent les requêtes d'un service réseau. Cela permet aux clients de localiser un hôte qui fournit un service spécifique. Les enregistrements SRV sont utiles dans de nombreux scénarios : •
Lorsqu'un contrôleur de domaine doit répliquer des changements en provenance de ses partenaires
•
Lorsqu'un ordinateur client doit s'authentifier dans AD DS
•
Lorsqu'un utilisateur change son mot de passe
•
Lorsqu'un serveur Microsoft Exchange effectue une recherche dans l'annuaire
•
Lorsqu'un administrateur ouvre Utilisateurs et ordinateurs Active Directory
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Tout enregistrement SRV adopte la syntaxe suivante : protocole.service.nom TTL classe type priorité poids port cible
Voici un exemple d'enregistrement SRV : _ldap._tcp.contoso.com
600 IN SRV
0
100
389 hqdc01.contoso.com
Les composants de l'enregistrement sont les suivants : •
Nom de service du protocole, tel que LDAP, offert par un contrôleur de domaine
•
Valeur de la durée TTL, en secondes
•
Classe (tous les enregistrements d'un serveur DNS Windows seront IN ou INternet)
•
Type : SRV
•
Priorité et poids (aident les clients à choisir l'hôte à privilégier)
•
Port sur lequel le service est offert par le serveur. Le port 389 est le port standard pour LDAP dans un contrôleur de domaine Windows.
•
Cible, ou hôte du service (dans ce cas, il s'agit du contrôleur de domaine nommé hqdc01.contoso.com)
Lorsqu'un processus client recherche un contrôleur de domaine, il peut interroger le système DNS pour obtenir un service LDAP. Cette requête renvoie les deux enregistrements (SRV et A) du ou des serveurs qui fournissent le service demandé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-62
10-63
Démonstration : Enregistrements de ressource SRV inscrits par des contrôleurs de domaine AD DS
Points clés Dans cette démonstration, votre instructeur va vous montrer les enregistrements SRV inscrits par un contrôleur de domaine dans la forêt contoso.com. Vous allez effectuer les tâches suivantes : •
Utiliser le Gestionnaire DNS pour afficher les enregistrements SRV inscrits •
_tcp.contoso.com, qui dresse la liste de tous les contrôleurs du domaine
•
_tcp.siteName._sites.contoso.com, qui dresse la liste des contrôleurs de domaine qui couvrent un site spécifique
•
_msdcs.contoso.com, qui suit la trace des contrôleurs de domaine d'une forêt et que ceux-ci utilisent pour se localiser mutuellement
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Simuler une requête de client qui demande un contrôleur de domaine nslookup set type=srv _ldap._tcp.contoso.com
•
Découvrir comment les contrôleurs de domaine inscrivent leurs enregistrements de ressource dans une zone à mises à jour dynamiques. Supprimez un enregistrement SRV, puis arrêtez et redémarrez le service NetLogon. Le service NetLogon inscrit les enregistrements DC au démarrage.
•
Afficher le fichier %systemroot%\system32\config\netlogon.dns, qui contient les enregistrements qui doivent être inscrits manuellement si la zone ne prend pas en charge les mises à jour dynamiques
Étapes de la démonstration 1.
Exécutez Gestion du service DNS avec des droits administratifs à l'aide du compte Pat.Coleman_Admin et du mot de passe Pa$$w0rd. Dans l'arborescence de la console, développez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nœud _tcp. Examinez les enregistrements SRV.
2.
Dans l'arborescence de la console, développez HQDC01, Zones de recherche directe, contoso.com, _sites, BRANCHA, puis cliquez sur le nœud _tcp. Examinez les enregistrements SRV.
3.
Exécutez une invite de commande avec le compte administratif utilisé précédemment.
4.
Tapez nslookup, puis appuyez sur Entrée.
5.
Tapez set type=SRV, puis appuyez sur Entrée.
6.
Tapez _ldap._tcp.contoso.com, puis appuyez sur Entrée.
7.
Basculez dans le Gestionnaire DNS.
8.
Développez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nœud _tcp.
9.
Cliquez du bouton droit sur l'enregistrement SRV de hqdc01.contoso.com, puis cliquez sur Supprimer.
10. Revenez à l'invite de commande. 11. Tapez net stop netlogon, puis appuyez sur Entrée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-64
10-65
12. Tapez net start netlogon, puis appuyez sur Entrée. 13. Basculez dans le Gestionnaire DNS. 14. Dans l'arborescence de la console, cliquez du bouton droit sur le nœud _tcp, puis choisissez Actualiser. Examinez l'enregistrement SRV de hqdc01.contoso.com. 15. Ouvrez notepad.exe. 16. Cliquez sur Fichier, sur Ouvrir, tapez %systemroot%\system32\config \netlogon.dns dans la zone Nom de fichier, puis appuyez sur Entrée. 17. Examinez les enregistrements SRV par défaut.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Emplacement des contrôleurs de domaine
Points clés Lorsqu'un client s'authentifie, il tente de localiser un contrôleur de domaine dans son site. Si ce client ne s'est pas authentifié auparavant, il interroge DNS pour obtenir _ldap._tcp.NomDomaine, puis il récupère la liste de tous les contrôleurs de ce domaine. Le client tente une liaison LDAP avec chacun d'eux, et le premier contrôleur qui répond est sélectionné pour la prochaine étape. Remarquez que, à ce stade, il est possible qu'un contrôleur d'un autre site réponde en premier. Le client tente alors de s'authentifier auprès de ce contrôleur de domaine. Le contrôleur examine l'adresse IP du client et la compare aux informations qu'il possède à propos des sites et des sous-réseaux. Si ce contrôleur ne fait pas partie du site du client, il indique au client quel site est le sien. Le client interroge alors DNS pour obtenir _ldap._tcp.NomSite. nomDomaine, ce qui renvoie la liste des contrôleurs de domaine qui couvrent ce site. De nouveau, le client tente une liaison LDAP avec chacun de ces contrôleurs, et le premier qui répond est sélectionné. Le client s'authentifie alors auprès de ce contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-66
10-67
Le client stocke son appartenance à son site dans le Registre, et une affinité s'établit avec le contrôleur de domaine auprès duquel il s'est authentifié. La prochaine fois que ce client doit contacter un contrôleur, il commence par celui avec lequel une affinité s'est créée. Si ce contrôleur nst pas disponible, le client récupère les informations sur son site dans le Registre et interroge DNS pour obtenir _ldap._tcp.nomSite.nomDomaine. Ce processus est résumé dans la diapositive suivante :
L'emplacement des contrôleurs de domaine sera abordé de nouveau dans le Module 12, où vous étudierez comment les enregistrements SRV et le processus de localisation des contrôleurs sert à vérifier l'authentification à un contrôleur efficace.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Zones DNS en lecture seule
Points clés Tout serveur DNS placé dans un Contrôleur de domaine en lecture seule (ReadOnly Domain Controller, ou RODC) peut faire autorité pour des zones qui sont répliquées dans le RODC, et il peut résoudre les requêtes des clients qui utilisent ce RODC en tant que serveur DNS. Bien sûr, la caractéristique principale d'un RODC est qu'il ne peut effectuer aucune modification dans Active Directory. Ainsi, les enregistrements de ressource ne peuvent pas être ajoutés manuellement à la zone d'un RODC et les mises à jour dynamiques proposées par les clients ne sont pas acceptées. Les mises à jour dynamiques sont gérées en orientant les clients vers un DC inscriptible lorsqu'ils tentent d'envoyer une mise à jour à un RODC. Pour le RODC, il est utile d'inclure dès que possible dans la zone l'enregistrement de ressource mis à jour par le client. Ainsi, le RODC conserve la trace du client qui a tenté une mise à jour et la trace du DC inscriptible auquel ce client s'est référé. Après une courte attente, le RODC effectue une opération RSO (Réplication d'un objet unique), dans laquelle il récupère l'enregistrement DNS mis à jour pour le client auprès du DC inscriptible, en contournant les mécanismes de réplication habituels.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-68
Leçon 4
Configuration et administration avancées du système DNS
Vous avez appris à configurer une implémentation DNS simple et vous avez découvert comment DNS prend en charge AD DS. Dans ce module, vous allez explorer certaines rubriques avancées de configuration et d'administration du système DNS.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
comprendre et configurer la résolution des noms en une partie ;
•
configurer les paramètres avancés du serveur DNS ;
•
auditer, gérer et dépanner le rôle de serveur DNS.
10-69
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Résolution des noms en une partie
Points clés En temps normal, tout utilisateur ou toute application peut souhaiter ou avoir besoin de faire référence à un hôte par un nom en une seule partie. Par exemple, un utilisateur peut ouvrir Internet Explorer et accéder à l'adresse http://legalapp. Il est important que vous compreniez comment le service Client DNS fonctionne pour résoudre un nom en une partie. Tout d'abord, le client tente de résoudre le nom en une partie comme un nom complet en lui ajoutant le suffixe d'un domaine DNS. Le suffixe ajouté est choisi à l'aide de l'une des options suivantes : le premier qui est configuré dans les Paramètres TCP/IP avancés d'une connexion, et le second à l'aide de la Stratégie de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-70
10-71
•
Suffixe DNS de la connexion réseau du client : le client ajoute le suffixe de sa connexion DNS, tel que ad.contoso.com. En utilisant le suffixe basé sur la connexion, vous pouvez éventuellement configurer un client pour qu'il utilise la dévolution des noms de domaine, qui signifie que, si le suffixe de connexion échoue, le client recommence avec le nom du domaine parent, qui serait contoso.com dans cet exemple. La dévolution s'interrompt à ce stade ; elle n'interroge pas DNS avec un nom de domaine du niveau supérieur (TLD).
•
Ordre de recherche des suffixes DNS : vous pouvez spécifier les suffixes DNS qu'un client doit tenter. Il s'agit là de la méthode la plus simple avec la Stratégie de groupe. Si l'ordre de recherche des suffixes DNS est utilisé, il n'y a pas de dévolution. Vous devez désigner précisément les noms de domaine que le client doit tenter.
Si le suffixe DNS n'offre pas de résolution, le client DNS abandonne et interroge DNS avec un nom en une partie. Si cela ne fonctionne pas, le système tente une résolution de nom NetBIOS, qui commence par envoyer une requête à un serveur Windows Internet Name Service (WINS). Si celle-ci échoue également, il a recours à une diffusion NetBIOS dans le segment local. Le client DNS n'a pas beaucoup de temps pour résoudre un nom. En réalité, après 12 secondes, la résolution échoue. À ce stade, il revient à l'application cliente de décider de la conduite à tenir. Cela signifie qu'il est possible que le client arrive à expiration avant que toutes les combinaisons de noms aient été tentées.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Le serveur DNS Windows Server 2008 fournit une nouvelle option pour prendre en charge la résolution des noms en une partie : la zone GlobalNames. Il s'agit d'une zone spécialisée que vous créez dans vos serveurs DNS. En général, vous souhaiterez la répliquer dans la partition ForestDNSZones afin que tous les serveurs DNS de la forêt puissent y accéder. Cette zone contient des enregistrements CNAME avec des noms en une partie et leur résolution en noms complets. Lorsqu'un client envoie une requête en une partie, le serveur DNS peut la résoudre en récupérant l'enregistrement CNAME dans la zone GlobalNames, puis en recherchant l'enregistrement A approprié du nom complet. Pour utiliser GlobalNames, vous devez créer la zone GlobalNames, puis activer son usage dans les résolutions à l'aide de la commande dnscmd.exe. Pour plus d'informations, consultez l'article mentionné dans la section Lectures complémentaires.
Lectures complémentaires •
Résolution des noms DNS en une partie http://go.microsoft.com/fwlink/?LinkId=168531
•
Déploiement de la zone GlobalNames http://go.microsoft.com/fwlink/?LinkId=168532
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-72
10-73
Résolution des noms extérieurs à votre domaine
Points clés Il existe plusieurs moyens pour fournir la résolution des enregistrements DNS extérieurs à votre domaine, ceux pour lesquels vos serveurs DNS ne font pas autorité. •
Zone secondaire : la première option consiste à faire en sorte que les serveurs fassent autorité en hébergeant une zone secondaire du domaine externe. Ceci exige l'autorisation d'effectuer un transfert de zone depuis un serveur de noms vers la zone. Donc, cette option ne convient généralement pas pour les domaines externes de votre entreprise.
•
Redirecteurs : les redirecteurs, traités à la leçon 2, sont des pointeurs vers des serveurs DNS en amont, des serveurs DNS fournis par votre opérateur ISP ou des serveurs DNS Internet. Votre serveur DNS peut envoyer des requêtes aux serveurs redirecteurs. Si vous choisissez de pointer vers un serveur DNS autre que celui qui est géré par vous ou votre opérateur ISP, il convient d'en demander l'autorisation avant d'envoyer des requêtes récursives à un serveur DNS tiers.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Indications de racine : les indications de racine pointent vers des serveurs de noms de la racine de l'espace de noms DNS (« . »). Tout serveur DNS possède la liste des serveurs racine. Cette liste est mise à jour par Windows Update, mais elle ne change pas souvent.
•
Redirecteurs conditionnels : les redirecteurs conditionnels pointent vers les serveurs de noms qui doivent recevoir les requêtes de noms de domaine spécifiques. Tout redirecteur conditionnel crée un « raccourci direct » vers un serveur pour demander un domaine, et il n'a pas besoin d'envoyer des requêtes récursives à un redirecteur (non conditionnel), ni d'aller jusqu'à la racine de l'espace de noms DNS avec une indication de racine.
•
Zone de stub : vous avez étudié les domaines de stub précédemment dans ce module, car ils peuvent être utilisés sous forme de délégation pour un domaine enfant. Les domaines de stub peuvent s'avérer très utiles pour résoudre les noms extérieurs à votre entreprise. N'oubliez pas que le principal avantage d'un domaine de stub est que le serveur DNS gère dynamiquement la liste des serveurs de noms de ce domaine. Vous pouvez considérer les zones de stub comme des redirecteurs conditionnels dynamiques. Le prix à payer est que le port TCP 53 doit rester ouvert pour tous les serveurs de noms du domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-74
10-75
Zone de recherche inversée
Points clés Alors qu'une requête DNS typique demande l'adresse IP d'un nom d'hôte, une recherche inversée demande le nom d'hôte d'une adresse IP donnée. Tout nom complet est traité de droite à gauche, de la partie la plus générique (telle que .com) à la plus spécifique (telle que technet). Cependant, une adresse IP est plus générique à gauche : le premier octet est le plus générique et le dernier est le plus spécifique. Ainsi, pour envoyer une requête DNS avec une adresse IP, le client inverse l'ordre des octets et ajoute un nom de domaine réservé, in-addr.arpa. Donc, si un client veut connaître le nom d'hôte de l'ordinateur dont l'adresse IP est 10.0.1.34, il demande 34.1.0.10.in-addr.arpa.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Si vous vous rappelez de la hiérarchie du système de noms de domaine, vous savez que la racine est indiquée par un point (« . »), et en dessous se trouvent les domaines les plus génériques (domaines de niveau supérieur ou TLD). Au fur et à mesure que vous descendez dans la hiérarchie, les noms deviennent plus spécifiques. Le domaine in-addr.arpa est le TLD réservé aux recherches inversées. En dessous, se trouvent les domaines pour chaque octet des adresses IP. Ceci suggère que DNS ne prend en charge que les masques de sous-réseau standard, où le masque de sous-réseau d'un octet est soit 0, soit 255. Bien que cela soit vrai dans la totalité du réseau Internet, le serveur DNS Windows Server 2008 vous permet de créer des zones de recherche inversée en sous-réseau si vous en avez besoin. Comme les zones de recherche directe, les zones de recherche inversée ont des enregistrements de ressource (RR). L'enregistrement le plus générique dans une zone de recherche inversée est le Pointeur (PTR), dont le nom est défini sur la valeur du dernier octet de l'adresse IP d'un hôte et les données de l'enregistrement définies sur le nom complet de cet hôte. Comme les zones de recherche directe, les zones de recherche inversée prennent en charge les mises à jour dynamiques. Par défaut, lorsque le serveur DHCP Windows affecte une adresse IP à un client, il inscrit également l'enregistrement PTR de ce client. Les zones de recherche inversée ne sont pas obligatoires, mais sont recommandées. Certaines applications et certains services utilisent les recherches inversées en tant que vérification de sécurité, pour valider l'identité d'un requête provenant d'un client. L'application peut utiliser l'adresse IP du client pour rechercher son enregistrement PTR. Ensuite, elle peut valider la correspondance entre l'enregistrement A et l'hôte. En supposant que les mises à jour sécurisées sont en place, cela garantit que la requête provient bien d'un client autorisé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-76
10-77
Maintenance des zones et des serveurs DNS
Points clés La gestion du rôle de serveur DNS est pratiquement automatique. Cependant, une fonctionnalité est importante pour le configurer dans une zone qui prenne en charge les mises à jour dynamiques : le nettoyage. Le nettoyage est le processus qui consiste à supprimer les enregistrements périmés. Il est important non seulement pour les enregistrements A des clients et des serveurs, mais également, et encore plus, pour les enregistrements SRV inscrits par des contrôleurs de domaine. Dans certains scénarios, il est possible d'avoir des enregistrements SRV qui font référence à des contrôleurs de domaine incorrects, déplacés ou supprimés. Le nettoyage assure leur suppression définitive. Pour les zones intégrées à Active Directory, vous pouvez implémenter le nettoyage au niveau des zones ou des serveurs. La boîte de dialogue des propriétés du serveur vous permet de définir ses paramètres de nettoyage et de péremption, qui sont des paramètres par défaut pour les zones intégrées à Active Directory héritant des propriétés du serveur. Vous pouvez remplacer les paramètres par défaut du serveur zone par zone à l'aide de la boîte de dialogue des propriétés d'une zone.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Pour les zones principales standard, vous devez définir le nettoyage au niveau des zones. Après avoir défini les limites temporelles après lesquelles le nettoyage des enregistrements est autorisé, vous devez effectuer le nettoyage réel. Pour faciliter cette opération de gestion, configurez le serveur pour un nettoyage automatique dans l'onglet Avancé de la boîte de dialogue Propriétés du serveur. Vous pouvez également déclencher le nettoyage manuellement en cliquant du bouton droit sur le serveur dans le composant logiciel enfichable Gestionnaire DNS. Parmi les autres tâches de maintenance parfois nécessaires pour le serveur se trouvent l'affichage et la purge du cache. Cela devient utile lorsque vous découvrez que les clients obtiennent des résolutions incorrectes d'un serveur pour des zones pour lesquelles il ne fait pas autorité. Vous pouvez afficher les Recherches mises en cache d'un serveur en cliquant sur le menu Affichage du composant logiciel enfichable Gestionnaire DNS et en sélectionnant Fonctionnalités avancées. Vous pouvez alors vider le cache du serveur, si nécessaire, en cliquant du bouton droit sur le nœud de ce serveur ou sur le nœud Recherches mises en cache dans l'arborescence de la console.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-78
10-79
Test et dépannage des serveurs DNS
Points clés Les événements DNS sont consignés dans le journal DNS, qui s'affiche dans le Gestionnaire DNS, le Gestionnaire de serveur et le Gestionnaire des événements. Comme pour les autres journaux d'événements de Windows Server 2008, vous pouvez centraliser la collecte des événements à l'aide d'abonnements, traités dans le Module 13. Il s'agit d'une pratique recommandée, car elle vous permet de surveiller depuis un emplacement central tout signe de dysfonctionnement dans votre infrastructure DNS. Parfois, il peut être utile d'effectuer la journalisation du débogage, qui consigne les détails des transactions DNS. Vous pouvez activer la journalisation du débogage dans la boîte de dialogue Propriétés du serveur. Dans cette même boîte de dialogue Propriétés du serveur, vous pouvez également exécuter des requêtes récursives et itératives à des fins de test. Ainsi, vous pouvez vérifier que les zones de stub, les redirecteurs conditionnels, les redirecteurs et les indications de racine fonctionnent comme prévu.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
L'intégration entre DNS et AD DS a été détaillée dans la leçon 3. La commande dcdiag.exe /test:DNS exécute une série de tests exhaustifs pour s'assurer que cette intégration est opérationnelle. Si vous suspectez un problème spécifique, vous pouvez effectuer des tests plus granulaires. Pour plus de détails, tapez dcdiag.exe /?.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-80
10-81
Test et dépannage des clients DNS
Points clés En fin de compte, DNS et le rôle de serveur DNS concernent la résolution des requêtes des clients. Parfois, vous devez résoudre les problèmes de satisfaction des clients et des composants de DNS. Pour dépanner le côté client du système DNS, vous pouvez utiliser les commandes suivantes. •
ipconfig /all : cette commande affiche la configuration IP du client, y compris ses serveurs DNS. Vérifiez que le client utilise les serveurs corrects, et que ces derniers sont accessibles.
•
NSLookup : cette commande exécute directement des requêtes DNS. En général, un test avec NSLookup comprend les éléments suivants : set server=adresse IP
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Cette commande désigne le serveur DNS à interroger. Par défaut, il s'agit du serveur DNS principal du client. À la réception d'une réponse, NSLookup identifie le serveur qui a répondu. Si aucune zone de recherche inversée n'est disponible avec un enregistrement PTR contenant l'adresse IP du serveur DNS, le nom du serveur DNS apparaît comme Inconnu, mais son adresse IP est identifiée. La prochaine ligne est la suivante : set type=type d'enregistrement
Cette ligne définit le type d'enregistrements à interroger, par exemple SRV. Le paramètre par défaut est A (adresse/hôte). La dernière ligne est la suivante : enregistrement
Cela désigne l'enregistrement à interroger, généralement un nom de domaine complet lorsque la résolution d'un enregistrement A est testée. •
Ipconfig/displaydns : cette commande affiche le contenu du cache de résolution DNS dans le client.
•
ipconfig /flushdns : cette commande purge le cache de résolution DNS du client.
•
ipconfig /registerdns : cette command déclenche une mise à jour dynamique dans laquelle le client inscrit ses enregistrements A.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-82
10-83
Atelier pratique B : Configuration avancée du système DNS
Scénario Vous êtes l'administrateur de DNS chez Contoso, Ltd. Vous souhaitez améliorer le fonctionnement et l'efficacité de votre infrastructure DNS en activant le nettoyage et en créant une zone de recherche inversée pour le domaine. Vous souhaitez également examiner les enregistrements qui permettent aux clients de localiser les contrôleurs de domaine. Pour finir, vous êtes chargé de configurer la résolution des noms entre contoso.com et le domaine d'une société partenaire, tailspintoys.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 1 : Activation du nettoyage des zones DNS Dans cet exercice, vous allez activer le nettoyage des zones DNS afin de supprimer les enregistrements de ressource périmés. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Activer le nettoyage d'une zone DNS.
3.
Configurer les paramètres par défaut du nettoyage.
Tâche 1 : Préparation de l'atelier pratique Certains des ordinateurs virtuels ont déjà dû être démarrés lors de l'Atelier pratique A. Toutefois, s'ils ont été arrêtés, terminez les Exercices 1 et 2 de l'Atelier pratique A avant de continuer car il existe des dépendances entre les Ateliers pratiques A et B. 1.
Démarrez 6238B-HQDC01-B.
2.
Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd.
3.
Ouvrez D:\Labfiles\Lab10b.
4.
Exécutez Lab10b_Setup.bat avec des droits administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd.
5.
Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.
6.
Fermez la fenêtre de l'Explorateur Windows, Lab10b.
7.
Démarrez 6238B-HQDC02-B.
8.
Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
9.
Démarrez 6238B-TSTDC01-A.
10. Ouvrez une session sur TSTDC01 en tant que Sara.Davis avec le mot de passe Pa$$w0rd. 11. Démarrez 6238B-BRANCHDC01-B. 12. Patientez jusqu'à la fin du démarrage de BRANCHDC01 avant de poursuivre.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-84
10-85
Tâche 2 : Activation du nettoyage d'une zone DNS 1.
Dans HQDC02, exécutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Activez le nettoyage pour la zone contoso.com. Acceptez les paramètres par défaut pour les intervalles de nettoyage.
Tâche 3 : Configuration des paramètres par défaut du nettoyage •
Configurez HQDC02 de sorte que, par défaut, le nettoyage soit activé pour toutes les zones. Acceptez les paramètres par défaut pour les intervalles de nettoyage. Résultats : à la fin de cet exercice, vous aurez configuré le nettoyage du domaine contoso.com et activé le nettoyage par défaut de toutes les zones.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 2 : Création de zones de recherche inversée Dans cet exercice, vous allez créé une zone de recherche inversée pour le domaine contoso.com. Les tâches principales de cet exercice sont les suivantes : 1.
Créer une zone de recherche inversée.
2.
Vérifier le fonctionnement d'une zone de recherche inversée.
Tâche 1 : Création d'une zone de recherche inversée •
Créez une zone de recherche inversée pour le réseau IPv4 10. Autorisez uniquement les mises à jour dynamiques sécurisées, et répliquez la zone dans tous les contrôleurs du domaine contoso.com.
Remarque : dans un environnement de production, vous vous contenteriez de la répliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la répliquer dans tous les contrôleurs de domaine pour assurer une réplication rapide et sûre.
Tâche 2 : Vérification du fonctionnement d'une zone de recherche inversée 1.
Exécutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Notez que la première section du résultat de la commande, qui désigne le serveur DNS interrogé, indique l'adresse IP du serveur mais, à côté de Serveur, elle signale que ce serveur est Inconnu. En effet, la commande nslookup.exe ne peut pas résoudre l'adresse IP en nom.
3.
Basculez dans le Gestionnaire DNS.
4.
Dans l'arborescence de la console, cliquez sur la zone 10.in-addr.arpa sous Zones de recherche inversée.
5.
Examinez les enregistrements de cette zone.
6.
Revenez à l'invite de commandes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-86
10-87
7.
Tapez ipconfig /egisterdns, puis appuyez sur Entrée.
8.
Basculez dans le Gestionnaire DNS.
9.
Cliquez du bouton droit sur la zone 10.in-addr.arpa et choisissez Actualiser.
10. Examinez les enregistrements de ressource qui sont apparus. 11. Revenez à l'invite de commandes. 12. Tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Notez que le serveur DNS interrogé à l'adresse 10.0.0.12 est désormais résolu par son nom. Résultats : à la fin de cet exercice, vous aurez créé une zone de recherche inversée et testé son fonctionnement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 3 : Exploration de l'emplacement des contrôleurs de domaine Dans cet exercice, vous allez examiner les enregistrements de ressource qui permettent aux clients de localiser des contrôleurs de domaine. Les tâches principales de cet exercice sont les suivantes : 1.
Explorer le domaine _tcp.
2.
Explorer le domaine _tcp.brancha._sites.contoso.com.
Tâche 1 : Exploration du domaine _tcp •
Examinez les enregistrements du domaine _tcp.contoso.com. Que représentent-ils ?
Tâche 2 : Exploration du domaine _tcp.brancha._sites.contoso.com •
Examinez les enregistrements du domaine _tcp.brancha._sites.contoso.com. Que représentent-ils ? Résultats : à la fin de cet exercice, vous aurez examiné les enregistrements SRV du domaine contoso.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-88
10-89
Exercice 4 : Configuration de la résolution des noms pour des domaines externes Dans cet exercice, vous allez configurer la résolution des noms entre deux domaines entièrement distincts. Les tâches principales de cet exercice sont les suivantes : 1.
Configurer une zone de stub.
2.
Configurer un redirecteur conditionnel.
3.
Valider la résolution des noms pour des domaines externes.
Tâche 1 : Configuration d'une zone de stub •
Dans HQDC02, créez une zone de stub pour tailspintoys.com qui renvoie à l'adresse IPv4 10.0.0.31 pour le serveur maître.
Tâche 2 : Configuration d'un redirecteur conditionnel 1.
Dans TSTDC01, exécutez le Gestionnaire DNS en tant qu'administrateur, avec le compte Sara.Davis_Admin et le mot de passe Pa$$w0rd.
2.
Pour le domaine contoso.com, créez un redirecteur conditionnel qui renvoie à l'adresse IPv4 10.0.0.11.
Tâche 3 : Validation de la résolution des noms pour des domaines externes 1.
Dans TSTDC01, ouvrez une invite de commande et tapez nslookup www.development.contoso.com, puis appuyez sur Entrée. Cette commande doit renvoyer l'adresse 10.0.0.24.
2.
Basculez dans le Gestionnaire DNS et créez un enregistrement d'hôte (A) pour www.tailspintoys.com qui renvoie 10.0.0.143.
3.
Dans HQDC02, ouvrez une invite de commande et tapez nslookup www.tailspintoys.com, puis appuyez sur Entrée. Cette commande doit renvoyer l'adresse 10.0.0.143. Résultats : à la fin de cet exercice, vous aurez configuré la résolution des noms DNS entre les domaines contoso.com et tailspintoys.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Configuration du système DNS
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Questions de contrôle des acquis Question : Dans cet atelier, vous avez utilisé une zone de stub et un redirecteur conditionnel pour fournir la résolution des noms entre deux domaines distincts. Quelles autres options auriez-vous pu choisir ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-90
11-1
Module 11 Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS) Table des matières : Leçon 1 : Options d'installation des contrôleurs de domaine
11-4
Atelier pratique A : Installation des contrôleurs de domaine
11-33
Leçon 2 : Installation d'un contrôleur de domaine Server Core
11-41
Atelier pratique B : Installation d'un contrôleur de domaine Server Core
11-50
Leçon 3 : Gestion des maîtres d'opérations
11-55
Atelier pratique C : Transfert des rôles de maître d'opérations
11-74
Leçon 4 : Configuration de la réplication DFSR du dossier SYSVOL
11-79
Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL
11-87
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Vue d'ensemble du module
Les contrôleurs de domaine hébergent le service d'annuaire et exécutent les services qui assurent la gestion des identités et des accès dans une entreprise Windows®. À ce stade du cours, vous avez appris à prendre en charge les composants logiques et de gestion d'une infrastructure de service d'annuaire Active Directory® : utilisateurs, groupes, ordinateurs et Stratégie de groupe. Chacun de ces composants est stocké dans la base de données de l'annuaire et dans le volume SYSVOL des contrôleurs de domaine. Dans ce module, vous allez commencer à étudier les composants de niveau de service d'Active Directory, en commençant par les contrôleurs de domaine eux-mêmes. Vous apprendrez à ajouter des contrôleurs de domaine Windows Server® 2008 à une forêt ou un domaine, à préparer une forêt ou un domaine Windows Server 2003 pour son premier contrôleur de domaine Windows Server 2008, à gérer les rôles exécutés par les contrôleurs de domaine et à migrer la réplication du volume SYSVOL du Service de réplication de fichiers (FRS) utilisé dans les versions précédentes de Windows vers le mécanisme de Réplication du système de fichiers distribués (DFS) assurant une réplication plus robuste et plus facile à gérer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-2
11-3
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
installer un contrôleur de domaine standard ou en lecture seule dans des arborescences ou des domaines, nouveaux ou existants ;
•
ajouter et supprimer des contrôleurs de domaine à l'aide de diverses méthodes d'interface graphique utilisateur ou de ligne de commande ;
•
configurer un contrôleur de domaine sur Server Core ;
•
comprendre et identifier les rôles de maître d'opérations ;
•
gérer l'emplacement, le transfert et la cessation des rôles de maître d'opérations ;
•
migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Leçon 1
Options d'installation des contrôleurs de domaine
Au Module 1, « Présentation des Services de domaine Active Directory », vous avez utilisé l'Assistant Ajout de rôles du Gestionnaire de serveur pour installer les Services de domaine Active Directory (AD DS). Vous avez ensuite utilisé l'Assistant Installation des services de domaine Active Directory pour créer le premier contrôleur de domaine de la forêt contoso.com. Les contrôleurs de domaine étant essentiels pour l'authentification, il est fortement recommandé d'en utiliser au moins deux dans chaque domaine de votre forêt afin d'assurer un niveau suffisant de tolérance de panne en cas de défaillance de l'un d'entre eux. Vous serez peutêtre également amené à ajouter des contrôleurs de domaine à des sites distants ou à créer de nouveaux domaines ou de nouvelles arborescences dans votre forêt Active Directory. Dans cette leçon, vous allez apprendre à utiliser trois méthodes (interface utilisateur, ligne de commande et sans assistance) pour installer des contrôleurs de domaine dans divers scénarios.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-4
11-5
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
installer un contrôleur de domaine à l'aide de l'interface Windows, des paramètres de ligne de commande de la commande dcpromo.exe ou d'un fichier de réponses pour une installation sans assistance ;
•
ajouter des contrôleurs de domaine Windows Server 2008 dans un domaine ou une forêt doté(e) de contrôleurs de domaine Windows Server 2003 et Windows 2000 Server ;
•
créer de nouveaux domaines et de nouvelles arborescences ;
•
exécuter l'installation intermédiaire d'un contrôleur de domaine en lecture seule ;
•
installer un contrôleur de domaine à partir d'un support d'installation afin de réduire la réplication réseau ;
•
supprimer un contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Installation d'un contrôleur de domaine avec l'interface Windows
Points clés L'installation d'un contrôle de domaine avec l'interface Windows comprend deux étapes majeures. D'abord, vous devez installer le rôle AD DS qui, comme vous l'avez étudié au Module 1 « Présentation des Services de domaine Active Directory », peut être effectué via l'Assistant Ajout de rôles du Gestionnaire de serveur. Lorsque l'installation du rôle AD DS a copié les fichiers binaires nécessaires au rôle sur le serveur, vous devez installer et configurer AD DS en lançant l'Assistant Installation des services de domaine Active Directory, à l'aide de l'une des méthodes suivantes : •
Cliquez sur Démarrer et tapez dcpromo dans le champ Rechercher. Cliquez ensuite sur OK. Une fois l'Assistant Ajout de rôles terminé, cliquez sur le lien Assistant Installation des services de domaine Active Directory.
•
Lorsque le rôle AD DS a été ajouté, des liens s'affichent dans le Gestionnaire de serveur pour vous rappeler d'exécuter l'Assistant Installation des services de domaine Active Directory. Cliquez sur l'un de ces liens.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-6
11-7
Remarque : Assistant tout-en-un. La documentation Microsoft sur Windows Server 2008 met en évidence le modèle à base de rôles et vous recommande d'ajouter le rôle AD DS, puis d'exécuter la commande Dcpromo.exe (l'Assistant Installation des services de domaine Active Directory). Vous pouvez cependant vous contenter d'exécuter Dcpromo.exe et, au cours de la première étape, l'Assistant s'apercevra que les fichiers binaires AD DS ne sont pas installés et ajoutera automatiquement le rôle AD DS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Fichier de réponses et options d'installation sans assistance
Points clés Vous pouvez également ajouter ou supprimer un contrôleur de domaine au niveau de la ligne de commande, via l'installation sans assistance prise en charge par la version Windows Server 2008 de la commande dcpromo.exe. Les options de l'installation sans assistance fournissent les valeurs nécessaires à l'Assistant Installation des services de domaine Active Directory. Par exemple, l'option NewDomainDNSName spécifie le nom de domaine complet (FQFN) d'un nouveau domaine. Ces options peuvent être fournies à la ligne de commande en tapant dcpromo /OptionSansAssistance:valeur, par exemple, dcpromo /newdomaindnsname:contoso.com. Vous pouvez également fournir ces options dans un fichier de réponses d'installation sans assistance. Le fichier de réponses est un fichier texte qui contient un titre de section, [DCINSTALL], suivi des options et de leurs valeurs au format option=valeur. Le fichier suivant, par exemple, fournit l'option NewDomainDNSName : [DCINSTALL] NewDomainDNSName=contoso.com
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-8
11-9
Le fichier de réponses est appelé en ajoutant son chemin d'accès dans le paramètre unattend, par exemple : dcpromo /unattend:"chemin d'accès du fichier de réponses" Les options du fichier de réponses peuvent être remplacées par des paramètres sur la ligne de commande. Par exemple, si l'option NewDomainDNSName est spécifiée dans le fichier de réponses et que le paramètre /NewDomainDNSName est utilisé sur la ligne de commande, la valeur de ce paramètre est prioritaire. Lorsque l'une des valeurs requises n'est définie ni dans le fichier de réponses, ni sur la ligne de commande, l'Assistant Installation des services de domaine Active Directory vous invite à définir les réponses. Vous pouvez donc utiliser le fichier de réponses pour automatiser partiellement l'installation, en fournissant un sous-ensemble de valeurs de configuration à utiliser pendant l'installation interactive. L'Assistant n'est pas disponible lorsque la commande dcpromo.exe est exécutée depuis la ligne de commande de Server Core. Dans ce cas, la commande dcpromo.exe renvoie un code d'erreur. Pour obtenir la liste complète des paramètres que vous pouvez spécifier dans le cadre d'une installation sans assistance de AD DS, ouvrez une invite de commande élevée et tapez la commande suivante : dcpromo /?[:opération] où opération correspond à l'un des éléments suivants : •
Promotion renvoie tous les paramètres utilisables lors de la création d'un contrôleur de domaine.
•
CreateDCAccount renvoie tous les paramètres utilisables lors de la création d'un compte prédéfini pour un Contrôleur de domaine en lecture seule (RODC, Read-Only Domain Controller).
•
UseExistingAccount renvoie tous les paramètres utilisables pour relier un nouveau contrôleur de domaine à un compte RODC prédéfini.
•
Demotion renvoie tous les paramètres utilisables pour supprimer un contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Remarque : générez un fichier de réponses. Lorsque vous utilisez l'interface Windows pour créer un contrôleur de domaine, la page Résumé de l'Assistant Installation des services de domaine Active Directory vous permet d'exporter vos paramètres dans un fichier de réponses. Si vous devez créer un fichier de réponses à utiliser depuis la ligne de commande (par exemple, sur une installation Server Core), ce raccourci vous permet de créer un fichier de réponses contenant les options et les valeurs appropriées.
Lectures complémentaires •
Les références complètes des paramètres de la commande dcpromo et des options d'installation sans assistance sont disponibles à l'adresse : http://go.microsoft.com/fwlink/?LinkId=168475
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-10
11-11
Installation d'une nouvelle forêt Windows Server 2008
Points clés Le Module 1, « Présentation des Services de domaine Active Directory » présentait l'installation du premier contrôleur de domaine Windows Server 2008 dans une nouvelle forêt, via l'interface Windows. Dans ce module, vous avez étudié la procédure détaillée permettant d'ajouter le rôle AD DS à un serveur à l'aide du Gestionnaire de serveur, puis d'exécuter la commande Dcpromo.exe pour promouvoir le serveur en contrôleur de domaine. Lorsque vous créez un nouveau domaine racine dans une forêt, vous devez spécifier le nom DNS de ce domaine, son nom NetBIOS et les niveaux fonctionnels du domaine et de la forêt. Le premier contrôleur de domaine ne peut pas être en lecture seule et doit être un serveur de Catalogue global (GC). Si l'Assistant Installation des services de domaine Active Directory s'aperçoit qu'il est nécessaire d'installer et de configurer le système DNS, il le fait automatiquement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Vous pouvez également utiliser un fichier de réponses en tapant dcpromo /unattend:"chemin d'accès du fichier de réponses" (celui contenant les options et les valeurs de l'installation sans assistance). L'exemple suivant contient les paramètres minimaux pour l'installation sans assistance d'un nouveau contrôleur de domaine Windows Server 2008 dans une nouvelle forêt : [DCINSTALL] ReplicaOrNewDomain=domain NewDomain=forest NewDomainDNSName=nom DNS complet DomainNetBiosName=nom NetBIOS du domaine ForestLevel={0=Windows 2000 Server Native; 2=Windows Server 2003 Native; 3=Windows Server 2008} DomainLevel={0=Windows Server 2000 Native; 2=Windows Server 2003 Native; 3=Windows Server 2008} InstallDNS=yes DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes
Vous pouvez également spécifier un ou plusieurs paramètres et valeurs d'installation sans assistance sur la ligne de commande. Par exemple, si vous ne voulez pas du mot de passe du Mode de restauration des services d'annuaire dans le fichier de réponses, ne renseignez pas l'entrée et spécifiez le paramètre /SafeModeAdminPassword:mot de passe lorsque vous exécutez la commande dcpromo.exe. Vous pouvez également inclure toutes les options sur la ligne de commande ellemême. L'exemple suivant crée le premier contrôleur de domaine d'une nouvelle forêt dans laquelle vous n'envisagez pas d'installer de contrôleurs de domaine Windows Server 2003 : dcpromo /unattend /installDNS:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:contoso.com /DomainNetbiosName:contoso /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-12
11-13
Préparation d'un domaine existant aux contrôleurs de domaine Windows Server 2008
Points clés Si vous avez une forêt existante dotée de contrôleurs de domaine exécutant Windows Server 2003 ou Windows 2000 Server, vous devez les préparer avant de créer votre premier contrôleur de domaine Windows Server 2008. La commande ADPrep permet de préparer Active Directory à un contrôleur de domaine exécutant une version de Windows Server plus récente que celle exécutée par les contrôleurs de domaine existants dans la forêt ou le domaine. Adprep.exe est un outil de ligne de commande inclus dans le disque d'installation de chaque version de Windows Server. Adprep.exe exécute les opérations à effectuer dans un environnement Active Directory existant avant de pouvoir ajouter un contrôleur de domaine fonctionnant sous cette version de Windows Server.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Les paramètres de la commande Adprep.exe exécutent diverses opérations qui préparent l'environnement Active Directory existant à un contrôleur de domaine exécutant une version plus récente de Windows Server. Toutes les versions de la commande Adprep.exe n'exécutent pas les mêmes opérations, mais les différents types d'opérations incluent généralement les suivants : •
mise à jour du schéma Active Directory ;
•
mise à jour des descripteurs de sécurité ;
•
modification des listes de contrôle d'accès (ACL) des objets Active Directory et des fichiers du dossier partagé SYSVOL ;
•
création de nouveaux objets, selon les besoins ;
•
création de nouveaux conteneurs, selon les besoins.
Pour préparer la forêt au premier contrôleur de domaine exécutant Windows Server 2008, procédez comme suit : 1.
Ouvrez une session sur le contrôleur de schéma en tant que membre des groupes Administrateurs de l'entreprise, Administrateurs du schéma et Administrateurs du domaine. La leçon 3 présente les maîtres d'opérations et la procédure qui permet d'identifier le contrôleur de domaine correspondant au contrôleur de schéma.
2.
Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du contrôleur de schéma.
3.
Ouvrez une invite de commande élevée et placez-vous dans le dossier adprep.
4.
Tapez adprep /forestprep et appuyez sur ENTRÉE.
Patientez jusqu'à la fin de l'opération. Dès que les modifications sont répliquées dans toute la forêt, vous pouvez continuer à préparer les domaines pour Windows Server 2008.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-14
11-15
Pour préparer un domaine au premier contrôleur de domaine exécutant Windows Server 2008, procédez comme suit : 1.
Ouvrez une session sur le maître d'opérations de l'infrastructure du domaine en tant que membre du groupe Administrateurs du domaine. La leçon 3 décrit la procédure qui permet d'identifier le contrôleur de domaine correspondant au maître d'opérations de l'infrastructure.
2.
Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du maître d'infrastructure.
3.
Ouvrez une invite de commande et placez-vous dans le dossier adprep.
4.
Tapez adprep /domainprep /gpprep et appuyez sur ENTRÉE.
Sous Windows Server 2003, un message peut vous signaler que les mises à jour étaient inutiles. Vous pouvez ignorer ce message. Autorisez la réplication de la modification dans toute la forêt avant d'installer un contrôleur de domaine exécutant Windows Server 2008. Pour préparer AD DS au premier contrôleur de domaine en lecture seule (RODC), procédez comme suit : 1.
Ouvrez une session sur un ordinateur quelconque en tant que membre du groupe Administrateurs de l'entreprise.
2.
Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier de l'ordinateur.
3.
Ouvrez une invite de commande élevée et placez-vous dans le dossier adprep.
4.
Tapez adprep /rodcprep et appuyez sur ENTRÉE.
RODCPREP, à tout moment. Vous pouvez également exécuter la commande adprep /rodcprep à tout moment dans une forêt Windows 2000 Server ou Windows Server 2003. Cette commande ne doit pas obligatoirement être exécutée avec /forestprep. Vous devez toutefois l'exécuter et autoriser la réplication de ses modifications dans toute la forêt avant d'installer le premier contrôleur de domaine en lecture seule.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Lectures complémentaires •
Exécution de la commande Adprep.exe : http://go.microsoft.com/fwlink/?LinkId=168477
•
Commande ADPrep : http://go.microsoft.com/fwlink/?LinkId=168478
•
Windows Server 2008 : Annexe des modifications apportées à la commande Adprep.exe pour la prise en charge de AD DS : http://go.microsoft.com/fwlink/?LinkId=168479
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-16
11-17
Installation d'un contrôleur de domaine supplémentaire dans un domaine
Points clés Il est possible d'ajouter d'autres contrôleurs de domaine en installant AD DS et en lançant l'Assistant Installation des services de domaine Active Directory. Vous êtes dans ce cas invité à choisir la configuration du déploiement, à saisir des informations d'identification réseau, à sélectionner un domaine et un site pour le nouveau contrôleur de domaine et à configurer le contrôleur de domaine avec d'autres options telles que Serveur DNS, Catalogue global (GC) ou Contrôleur de domaine en lecture seule (RODC). Les étapes restantes sont les mêmes que pour le premier contrôleur de domaine : configuration des emplacements de fichiers et du mot de passe administrateur de restauration des services d'annuaire.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Lorsqu'un domaine comprend un contrôleur de domaine et que vous cochez la case Utiliser l'installation en mode avancé de la page d'accueil de l'Assistant Installation des services de domaine Active Directory, vous pouvez configurer les options avancées, notamment : •
Installation à partir du support : par défaut, un nouveau contrôleur de domaine réplique toutes les données de toutes les partitions de l'annuaire qu'il hébergera à partir d'autres contrôleurs de domaine pendant l'exécution de l'Assistant Installation des services de domaine Active Directory. Pour améliorer les performances de l'installation, en particulier dans le cas de liaisons lentes, vous pouvez utiliser le support d'installation créé par les contrôleurs de domaine existants. Ce support d'installation est une forme de sauvegarde. Le nouveau contrôleur de domaine est capable de lire les données directement à partir du support d'installation, puis il ne réplique que les mises à jour issues d'autres contrôleurs de domaine. L'Installation à partir du support (IFM) est détaillée à la section « Installation des services de domaine Active Directory à partir du support ».
•
Contrôleur de domaine source : si vous voulez désigner le contrôleur de domaine à partir duquel le nouveau contrôleur de domaine réplique ses données, cliquez sur Utiliser ce contrôleur de domaine spécifique.
Remarque : la commande Dcpromo /adv est toujours prise en charge. Sous Windows Server 2003, la commande dcpromo /adv permettait de définir des options d'installation avancées. Le paramètre adv est toujours pris en charge. Il présélectionne l'option Utiliser l'installation en mode avancé de la page d'accueil.
Pour utiliser la commande Dcpromo.exe avec des paramètres de ligne de commande pour spécifier des options d'installation sans assistance, vous pouvez utiliser les paramètres minimaux illustrés dans l'exemple suivant : dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:contoso.com /installDNS:yes /confirmGC:yes /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /rebootOnCompletion:yes
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-18
11-19
Si vous n'êtes pas connecté au serveur avec des informations d'identification de domaine, spécifiez également les paramètres domaineUtilisateur et nomUtilisateur. Voici un fichier de réponses minimal pour ajouter un contrôleur de domaine supplémentaire dans un domaine existant : [DCINSTALL] ReplicaOrNewDomain=replica ReplicaDomainDNSName=nom complet du domaine à joindre UserDomain=nom complet du domaine du compte utilisateur UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) Password=mot de passe de l'utilisateur spécifié par UserName (* pour l'invite) InstallDNS=yes ConfirmGC=yes DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Installation d'un nouveau domaine enfant Windows Server 2008
Points clés Si vous avez déjà un domaine existant, vous pouvez créer un nouveau domaine enfant en créant un contrôleur de domaine Windows Server 2008. Avant d'effectuer cette opération, toutefois, vous devez exécuter la commande adprep /forestprep selon les descriptions de la section précédente, « Préparation d'un domaine existant aux contrôleurs de domaine Windows Server 2008 ». Installez ensuite AD DS et lancez l'Assistant Installation des services de domaine Active Directory, puis cliquez sur Forêt existante et Créer un nouveau domaine dans une forêt existante dans la page Choisissez une configuration de déploiement. Vous êtes alors invité à sélectionner le niveau fonctionnel du domaine. Comme il s'agit du premier contrôleur du domaine, il ne peut pas être en lecture seule et ne peut pas être installé à partir du support. Si vous cochez la case Utiliser l'installation en mode avancé de la page d'accueil, l'Assistant présente la page Contrôleur de domaine source qui vous permet de définir le contrôleur de domaine à partir duquel s'effectuera la réplication de la configuration et des partitions du schéma.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-20
11-21
La commande dcpromo.exe permet de créer un domaine enfant avec les options minimales illustrées dans la commande suivante : dcpromo /unattend /installDNS:yes /replicaOrNewDomain:domain /newDomain:child /ParentDomainDNSName:contoso.com /newDomainDnsName:subsidiary.contoso.com /childName:subsidiary /DomainNetbiosName:subsidiary /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes
Ces mêmes paramètres minimaux se reflètent dans le fichier de réponses suivant : [DCINSTALL] ReplicaOrNewDomain=domain NewDomain=child ParentDomainDNSName=nom complet du domaine parent UserDomain=nom complet de l'utilisateur spécifié par UserName UserName=DOMAIN\username (avec l'autorisation d'ajouter un domaine enfant) Password=mot de passe de l'utilisateur spécifié par UserName ou * pour l'invite ChildName=préfixe en une partie du domaine (le nom complet du domaine enfant sera NomEnfant.NomCompletDomaineParent) DomainNetBiosName=nom NetBIOS du domaine DomainLevel=niveau fonctionnel du domaine (non inférieur au niveau actuel de la forêt) InstallDNS=yes CreateDNSDelegation=yes DNSDelegationUserName=DOMAIN\nom d'utilisateur avec autorisation de créer une délégation DNS, si différent de UserName, ci-dessus DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour l'invite DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Installation d'une nouvelle arborescence de domaine dans une forêt
Points clés Au Module 1, « Présentation des Services de domaine Active Directory », vous avez appris que, dans une forêt Active Directory, l'arborescence se composait d'un ou de plusieurs domaines partageant un espace de noms DNS contigu. Par exemple, les domaines contoso.com et subsidiary.contoso.com seraient placés dans une même arborescence. Les autres arborescences correspondent simplement à d'autres domaines de la même forêt mais qui n'appartiennent pas au même espace de noms. Par exemple, si la société Contoso faisait l'acquisition de la société Tailspin Toys, le domaine tailspintoys.com serait dans une autre arborescence du domaine. D'un point de vue fonctionnel, il n'existe que très peu de différence entre un domaine enfant et un domaine d'une autre arborescence, et la procédure de création d'une nouvelle arborescence est, par conséquent, très proche de celle d'un domaine enfant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-22
11-23
D'abord, vous devez exécuter la commande adprep /forestprep selon les descriptions de la section précédente, « Préparation d'un domaine existant aux contrôleurs de domaine Windows Server 2008 ». Vous pouvez ensuite installer AD DS et exécuter l'Assistant Installation des services de domaine Active Directory. Dans la page d'accueil de l'Assistant, vous devez sélectionner Utiliser l'installation en mode avancé. Dans la fenêtre Choisissez une configuration de déploiement, cliquez sur Forêt existante, sélectionnez Créer un nouveau domaine dans une forêt existante, puis Créer une nouvelle racine d'arborescence de domaine au lieu d'un nouveau domaine enfant. La suite de la procédure est la même que pour la création d'un nouveau domaine enfant. Les options suivantes, fournies sous forme de paramètres de la commande dcpromo.exe, créent une nouvelle arborescence pour le domaine tailspintoys.com dans la forêt contoso.com : dcpromo /unattend /installDNS:yes /replicaOrNewDomain:domain /newDomain:tree /newDomainDnsName:tailspintoys.com /DomainNetbiosName:tailspintoys /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /domainLevel:2 /rebootOnCompletion:yes
Le niveau fonctionnel du domaine étant configuré sur 2 (Windows Server 2003 Natif), le domaine peut inclure des contrôleurs de domaine Windows Server 2003.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Voici un fichier de réponses d'installation sans assistance qui crée la même arborescence : [DCINSTALL] ReplicaOrNewDomain=domain NewDomain=tree NewDomainDNSName=nom complet du nouveau domaine DomainNetBiosName=nom NetBIOS du nouveau domaine UserDomain=nom complet de l'utilisateur spécifié par UserName UserName=DOMAINE\nomUtilisateur (avec autorisation de créer un nouveau domaine) Password=mot de passe de l'utilisateur spécifié par UserName ou * pour l'invite DomainLevel=niveau fonctionnel du domaine (non inférieur au niveau actuel de la forêt) InstallDNS=yes ConfirmGC=yes CreateDNSDNSDelegation=yes DNSDelegationUserName=compte avec autorisation de créer une délégation DNS requis uniquement si différent de UserName, ci-dessus DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour l'invite DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-24
11-25
Installation intermédiaire d'un contrôleur de domaine en lecture seule
Points clés Comme vous l'avez vu au Module 9, « Amélioration de la sécurité de l'authentification dans un domaine Services de domaine Active Directory (AD DS) », les contrôleurs de domaine en lecture seule sont conçus pour prendre en charge les scénarios de filiales en assurant une authentification locale pour le site tout en réduisant les risques de sécurité et d'intégrité des données associés au placement d'un contrôleur de domaine dans un environnement moins bien contrôlé. Le plus souvent, la filiale ne dispose que d'un personnel informatique très limité, voire pas du tout. Dans ce cas, comment créer un contrôleur de domaine dans une filiale ? Pour répondre à cette question, Windows Server 2008 vous permet de créer une installation intermédiaire, ou déléguée, d'un contrôleur de domaine en lecture seule. La procédure comprend deux étapes : •
Création du compte du contrôleur de domaine en lecture seule (RODC) : un membre du groupe Admins du domaine crée un compte pour le RODC dans Active Directory. Les paramètres liés au RODC sont spécifiés à ce stade : le nom, le site Active Directory dans lequel le RODC sera créé et, éventuellement, l'utilisateur ou le groupe autorisé à exécuter l'a prochaine étape de l'installation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Association du serveur au compte RODC : une fois le compte créé, AD DS est installé. Le serveur, qui doit être membre d'un groupe de travail et non du domaine, est alors lié au domaine et au compte prédéfini en tant que RODC. Ces étapes peuvent être effectuées par les utilisateurs ou les groupes définis lors de la création du compte intermédiaire du RODC. Ces utilisateurs n'ont pas besoin d'appartenir à un groupe avec privilèges. Un membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise peut également associer un serveur, mais la délégation potentielle de cette phase à un utilisateur sans privilège simplifie grandement le déploiement des RODC dans les filiales non dotées de service informatique. Le contrôleur de domaine répliquera ses données à partir d'un autre contrôleur du domaine inscriptible. La méthode IFM présentée à la section « Installation des services de domaine Active Directory à partir du support » peut également être utilisée.
Création du compte intermédiaire du RODC Pour créer le compte du RODC dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez du bouton droit sur l'unité d'organisation Contrôleurs de domaine et choisissez Créer au préalable un compte de contrôleur de domaine en lecture seule. L'Assistant qui s'affiche ressemble beaucoup à l'Assistant Installation des services de domaine Active Directory. Il vous invite à spécifier le nom et le site du RODC. Vous pouvez également configurer la stratégie de réplication des mots de passe, selon les instructions du Module 9, « Amélioration de la sécurité de l'authentification dans un domaine Services de domaine Active Directory (AD DS) ». La page Délégation de l'installation et de l'administration du contrôleur de domaine en lecture seule (RODC), vous permet de spécifier une entité de sécurité, utilisateur ou groupe, pouvant associer le serveur au compte du RODC que vous créez. L'utilisateur ou le groupe disposera de droits d'administration sur le RODC après l'installation. Il est recommandé de désigner un groupe plutôt qu'un utilisateur. Si vous ne désignez pas un utilisateur ou un groupe, seuls les membres des groupes Administrateurs du domaine ou Administrateurs de l'entreprise peuvent associer le serveur au compte. Vous pouvez créer des comptes RODC prédéfinis en utilisant la commande dcpromo.exe avec de nombreux paramètres ou en créant un fichier de réponses pour la commande dcpromo.exe. Vous trouverez la procédure appropriée à l'adresse : http://go.microsoft.com/fwlink/?LinkId=168471.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-26
11-27
Association d'un serveur à un compte RODC prédéfini
Points clés Une fois le comte prédéfini, vous pouvez lui associer un serveur. Pour associer un serveur à un compte RODC prédéfini : 1.
Vérifiez que le serveur est membre d'un groupe de travail et non du domaine. Promotion à partir d'un groupe de travail. Lorsque vous créez un RODC par l'approche intermédiaire (c'est-à-dire lorsque vous associez un RODC à un compte prédéfini), le serveur doit être membre d'un groupe de travail, pas du domaine, lorsque vous lancez la commande dcpromo.exe ou l'Assistant Installation des services de domaine Active Directory. L'Assistant recherchera le compte existant par son nom dans le domaine et l'associera à ce compte.
2.
Exécutez dcpromo.exe /UseExistingAccount:attach. L'Assistant vous demande des informations d'identification réseau, puis localise le compte RODC désigné par ces informations dans le domaine. Les étapes restantes sont les mêmes que pour les autres opérations de promotion de contrôleurs de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Pour utiliser un fichier de réponses, fournissez les options et valeurs suivantes : [DCINSTALL] ReplicaDomainDNSName=nom complet du domaine à joindre UserDomain=nom complet de l'utilisateur spécifié par UserName UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) Password=mot de passe de l'utilisateur spécifié par UserName InstallDNS=yes ConfirmGC=yes DatabasePath="chemin d'accès au dossier dans un volume local" LogPath="chemin d'accès au dossier dans un volume local" SYSVOLPath="chemin d'accès au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes
Exécutez la commande dcpromo avec les options /unattend:"chemin d'accès du fichier de réponses” et /UseExistingAccount:Attach, comme dans l'exemple suivant : dcpromo /useexistingaccount:attach /unattend:"c:\rodcanswer.txt"
Toutes les options indiquées dans le fichier de réponses peuvent également être spécifiées ou remplacées directement sur la ligne de commande. Saisissez simplement une commande similaire à celle-ci : dcpromo /unattend /UseExistingAccount:Attach /ReplicaDomainDNSName:contoso.com /UserDomain:contoso.com /UserName:contoso\dan /password:* /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /rebootOnCompletion:yes
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-28
11-29
Installation d'AD DS à partir du support
Points clés Lorsque vous ajoutez des contrôleurs de domaine à une forêt, les données existantes des partitions de l'annuaire sont répliquées dans le nouveau contrôleur de domaine. Dans un environnement doté d'un annuaire très volumineux ou lorsque la bande passante est limitée entre un nouveau DC et le DC inscriptible à partir duquel la réplication doit s'effectuer, l'option d'installation à partir du support (IFM) permet d'installer AD DS plus efficacement. L'installation à partir du support implique la création d'un support d'installation, sauvegarde spéciale d'Active Directory que l'Assistant Installation des services de domaine Active Directory peut utiliser comme source de données pour renseigner l'annuaire du nouveau DC. Ce dernier ne réplique ensuite que les mises à jour issues d'un autre DC inscriptible. Ainsi, un support d'installation récent permet de réduire l'impact de la réplication dans un nouveau DC. N'oubliez pas que la réplication vers un nouveau contrôleur de domaine ne concerne pas uniquement l'annuaire mais également le dossier SYSVOL. Lorsque vous créez votre support d'installation, vous pouvez y inclure ou non le dossier SYSVOL.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
L'installation IFM vous permet également de contrôler le moment de l'impact sur la bande passante du réseau. Vous pouvez par exemple créer un support d'installation et le transférer vers un site distant en dehors des heures de bureau, puis créer le contrôleur de domaine pendant les heures ouvrables habituelles. Le support d'installation étant stocké dans le site local, l'impact sur le réseau est réduit, et seules les mises à jour sont répliquées via la liaison au site distant. Pour créer un support d'installation : 1.
Ouvrez une invite de commande élevée sur un contrôleur de domaine inscriptible et exécutant Windows Server 2008. Le support d'installation permet de créer des contrôleurs de domaine inscriptibles et en lecture seule.
2.
Exécutez la commande ntdsutil.exe.
3.
À l'invite de commande ntdsutil, tapez activate instance ntds et appuyez sur ENTRÉE.
4.
Tapez ifm et appuyez sur ENTRÉE.
5.
À l'invite de commande ifm:, tapez l'une des commandes suivantes, selon le type de support d'installation que vous souhaitez créer : •
create sysvol full chemin d'accès : crée un support d'installation avec SYSVOL pour un contrôleur de domaine inscriptible dans le dossier spécifié par chemin d'accès.
•
create full chemin d'accès : crée un support d'installation sans dossier SYSVOL pour un contrôleur de domaine inscriptible ou une instance des services AD LDS (Active Directory Lightweight Directory Services) dans le dossier spécifié par chemin d'accès.
•
create sysvol rodc chemin d'accès : crée un support d'installation avec dossier SYSVOL pour un contrôleur de domaine en lecture seule dans le dossier spécifié par chemin d'accès.
•
create rodc chemin d'accès : crée un support d'installation sans dossier SYSVOL pour un contrôleur de domaine en lecture seule dans le dossier spécifié par chemin d'accès.
Lorsque vous exécutez l'Assistant Installation des services de domaine Active Directory, cochez la case Utiliser l'installation en mode avancé pour que l'Assistant présente par la suite la page Installation à partir du support (IFM). Choisissez Répliquer les données à partir du support à l'emplacement suivant. Vous pouvez utiliser l'option d'installation ReplicationSourcePath dans un fichier de réponses ou à la ligne de commande dcpromo.exe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-30
11-31
Suppression d'un contrôleur de domaine
Points clés Vous pouvez supprimer un contrôleur de domaine à l'aide de la commande Dcpromo.exe, en lançant l'Assistant Installation des services de domaine Active Directory ou à partir d'une invite de commande, en définissant les options sur la ligne de commande ou dans un fichier de réponses. Lorsqu'un contrôleur de domaine est supprimé alors qu'il est connecté au domaine, il actualise les métadonnées de la forêt relatives à ce contrôleur de domaine afin d'en signaler la suppression à l'annuaire.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Pour utiliser un fichier de réponses, fournissez les options et valeurs suivantes : [DCINSTALL] UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) UserDomain=nom complet de l'utilisateur spécifié par UserName Password=mot de passe de l'utilisateur spécifié par UserName AdministratorPassword=mot de passe qui sera attribué à l'Administrateur local RemoveApplicationPartitions=yes RemoveDNSDelegation=yes DNSDelegationUserName=DOMAINE\nom d'utilisateur autorisé à supprimer la délégation DNS DNSDelegationPassword=mot de passe du compte
Exécutez la commande dcpromo avec les options /unattend:"chemin d'accès du fichier de réponses" et /UninstallBinaries, comme dans l'exemple suivant : dcpromo /uninstallbinaries /unattend:"c:\rodcanswer.txt"
Toutes les options indiquées dans le fichier de réponses peuvent également être spécifiées ou remplacées directement sur la ligne de commande. Saisissez simplement une commande similaire à celle-ci : dcpromo /unattend /uninstallbinaries /UserName:contoso\dan /password:* /administratorpassword:Pa$$w0rd
Lorsqu'un contrôleur de domaine doit être rétrogradé alors qu'il ne peut pas contacter le domaine, vous devez utiliser l'option forceremoval de la commande dcpromo.exe. Tapez dcpromo /forceremoval, et laissez-vous guider par l'Assistant Installation des services de domaine Active Directory. L'assistant vous présente des avertissements sur les rôles hébergés par le contrôleur de domaine. Lisez chaque avertissement et, après en avoir réduit ou accepté l'impact, cliquez sur Oui. Vous pouvez supprimez les avertissements via l'option demotefsmo:yes de la commande dcpromo.exe. Après la suppression du contrôleur de domaine, vous devez nettoyer manuellement les métadonnées de la forêt.
Lectures complémentaires •
Pour plus d'informations sur la suppression d'un contrôleur de domaine, consultez http://go.microsoft.com/fwlink/?LinkId=168480.
•
Pour plus d'informations sur le nettoyage des métadonnées, consultez l'article 216498 de la Base de connaissances Microsoft. Cet article est disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=80481.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-32
11-33
Atelier pratique A : Installation de contrôleurs de domaine
Scénario Vous avez été engagé pour remplacer l'ancien administrateur de la société Contoso, Ltd. La première chose que vous découvrez est que le domaine ne comprend qu'un seul contrôleur de domaine. Vous décidez d'en ajouter un second pour assurer la tolérance de panne du service d'annuaire. Vous avez déjà installé un nouveau serveur nommé HQDC02.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 1 : Création d'un contrôleur de domaine supplémentaire avec l'Assistant Installation des services de domaine Active Directory Dans cet exercice, vous allez utiliser l'Assistant Installation des services de domaine Active Directory (DCPromo.exe) pour créer un contrôleur de domaine supplémentaire dans le domaine contoso.com. Toutefois, vous ne terminerez pas l'installation mais enregistrerez les paramètres sous la forme d'un fichier de réponses que vous utiliserez dans l'exercice suivant. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Promouvoir un contrôleur de domaine à l'aide de l'Assistant Installation des services de domaine Active Directory.
Tâche 1 : Préparation de l'atelier pratique •
Démarrez 6238B-HQDC01-A et ouvrez une session avec le compte Pat.Coleman et le mot de passe Pa$$w0rd.
•
Démarrez 6238B-HQDC02-A, un serveur du groupe de travail, et ouvrez une session en tant qu'Administrateur local avec le mot de passe Pa$$w0rd.
Tâche 2 : Promotion d'un contrôleur de domaine à l'aide de l'Assistant Installation des services de domaine Active Directory •
Dans HQDC02, exécutez DCPromo.exe. Acceptez tous les paramètres fournis par défaut par l'Assistant Administration d'Active Directory, à l'exception de ceux répertoriés ci-dessous : •
Contrôleur de domaine supplémentaire dans une forêt existante
•
Domaine : contoso.com
•
Autres informations d'identification : Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Sélectionnez le domaine : contoso.com.
•
Lorsqu'un avertissement vous signale qu'une adresse IP est attribuée dynamiquement à HQDC01, cliquez sur Oui, l'ordinateur utilisera une adresse IP attribuée dynamiquement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-34
•
Lorsqu'un avertissement vous signale que la délégation DNS est introuvable, cliquez sur Oui.
•
Mot de passe administrateur du Mode restauration des services d'annuaire : Pa$$w0rd
11-35
•
Vérifiez vos sélections dans la page Résumé. Si l'un des paramètres est incorrect, cliquez sur Précédent pour le modifier.
•
Exportez les paramètres dans un fichier stocké sur votre Bureau et nommé AdditionalDC.
•
À la page Résumé, annulez l'installation du contrôleur de domaine. Ne continuez pas la procédure de l'Assistant Installation des services de domaine Active Directory. Résultats : Au terme de cet exercice, vous aurez simulé la promotion de HQDC02 en contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 2 : Ajout d'un contrôleur de domaine à partir de la ligne de commande Dans cet exercice, vous allez examiner le fichier de réponses que vous avez créé à l'Exercice 1. Vous utiliserez ensuite les options d'installation du fichier de réponses pour créer une ligne de commande dcpromo.exe et installer le contrôleur de domaine supplémentaire. Les tâches principales de cet exercice sont les suivantes : 1.
Créer la commande DCPromo.
2.
Exécuter la commande DCPromo.
Tâche 1 : Création de la commande DCPromo •
Ouvrez le fichier AdditionalDC.txt créé à l'Exercice 1. Examinez les réponses du fichier. Comprenez-vous la signification de certaines options ? Conseil : les lignes qui commencent par un point-virgule sont des commentaires ou des lignes inactives dont les commentaires ont été supprimés.
•
Ouvrez une seconde instance du Bloc-notes, sous forme de nouveau fichier texte. Activez le retour automatique à la ligne. Positionnez les fenêtres de manière à voir le fichier texte vide et le fichier AdditionalDC.txt de référence.
•
Dans le Bloc-notes, tapez la ligne de commande dcpromo.exe comme s'il s'agissait d'une invite de commande. Identifiez la ligne de commande chargée d'installer le contrôleur de domaine avec les mêmes options que celles répertoriées dans le fichier de réponses. Les paramètres de la ligne de commande prennent la forme /option:valeur alors que, dans le fichier de réponses, ils sont au format option=valeur. Configurez les valeurs Password et SafeModeAdminPassword sur Pa$$w0rd. Demandez à DCPromo de redémarrer à la fin de l'opération.
•
Comme vous l'apprendrez à l'Atelier B, vous pouvez définir la valeur du mot de passe sur un astérisque (*). Vous serez alors invité à saisir le mot de passe lors de l'exécution de la commande.
•
Une fois la commande créée, ouvrez le fichier Exercise2.txt, stocké dans le dossier \\HQDC01\d$\Labfiles\Lab11a. Comparez la commande correcte du fichier Exercise2.txt à celle que vous avez créée à l'étape précédente. Apportez les corrections nécessaires à votre commande.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-36
11-37
Tâche 2 : Exécution de la commande DCPromo •
Ouvrez la fenêtre d'invite de commande.
•
Revenez au fichier du Bloc-notes contenant la commande dcpromo.exe que vous avez créée à l'étape 1. Désactivez le retour à la ligne, copiez la ligne de commande que vous avez créée et collez-la dans la fenêtre d'invite de commande, puis appuyez sur ENTRÉE pour exécuter la commande. HQDC02 est promu contrôleur de domaine. Cette opération peut prendre quelques minutes. Résultats : Au terme de cet exercice, vous aurez promu HQDC02 en tant que contrôleur de domaine supplémentaire du domaine et de la forêt contoso.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 3 : Suppression d'un contrôleur de domaine Dans cet exercice, vous allez supprimer un contrôleur du domaine contoso.com. Les tâches principales de cet exercice sont les suivantes : •
Supprimer un contrôleur de domaine.
Tâche 1 : Suppression d'un contrôleur de domaine •
Après le redémarrage de HQDC02, ouvrez une session avec le compte Pat.Coleman et le mot de passe Pa$$w0rd.
•
Exécutez DCPromo en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Acceptez tous les paramètres présentés par défaut par l'Assistant et configurez le nouveau mot de passe Administrateur sur Pa$$w0rd. Redémarrez le serveur à la fin du processus. Résultats : Au terme de cet exercice, vous aurez rétrogradé HQDC02 en serveur membre.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-38
11-39
Exercice 4 : Création d'un contrôleur de domaine à partir du support d'installation Pour réduire la somme de réplication requise pour créer un contrôleur de domaine, vous pouvez promouvoir le contrôleur de domaine via l'option IFM. L'option IFM implique que vous fournissiez un support d'installation, c'est-à-dire en réalité une sauvegarde d'Active Directory. Dans cet exercice, vous allez créer le support d'installation dans HQDC01, le transférer vers HQDC02, puis simuler la promotion de HQDC02 en contrôleur de domaine via le support d'installation. Les tâches principales de cet exercice sont les suivantes : 1.
Créer un support d'installation.
2.
Promouvoir un contrôleur de domaine à l'aide du support d'installation.
Tâche 1 : Création d'un support d'installation 1.
Dans HQDC01, exécutez l'invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Utilisez la commande ntdsutil.exe pour créer un support d'installation dans un dossier nommé C:\IFM.
Tâche 2 : Promotion d'un contrôleur de domaine à l'aide du support d'installation 1.
Ouvrez une session sur HQDC02 avec le compte Pat.Coleman et le mot de passe Pa$$w0rd.
2.
Copiez le dossier IFM du lecteur C de HQDC01 dans le lecteur C de HQDC02.
3.
Dans HQDC02, exécutez DCPromo.exe. Acceptez tous les paramètres fournis par défaut par l'Assistant Installation des services de domaine Active Directory, à l'exception de ceux répertoriés ci-dessous : •
Contrôleur de domaine supplémentaire dans une forêt existante
•
Domaine : contoso.com.
•
Utilisateur : Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Sélectionnez le domaine : contoso.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Lorsqu'un avertissement vous signale qu'une adresse IP est attribuée dynamiquement à HQDC01, cliquez sur Oui, l'ordinateur utilisera une adresse IP attribuée dynamiquement.
•
Lorsqu'un avertissement vous signale que la délégation DNS est introuvable, cliquez sur Oui.
•
Installation à partir du support : Répliquez les données à partir du support stocké dans le dossier C:\IFM.
•
Après la page Contrôleur de domaine source, annulez l'Assistant sans terminer la promotion.
Résultats : Au terme de cet exercice, vous aurez créé un support d'installation dans HQDC01 et simulé la promotion de HQDC02 en contrôleur de domaine via le support d'installation.
Remarque : Arrêtez HQDC02, mais pas HQDC01 puisque vous allez l'utiliser dans le cadre de l'Atelier B.
Questions de contrôle des acquis Question : Pourquoi choisir d'utiliser un fichier de réponses ou une ligne de commande dcpromo.exe pour installer un contrôleur de domaine plutôt que d'utiliser l'Assistant Installation des services de domaine Active Directory ? Question : Dans quels cas est-il justifié de créer un contrôleur de domaine à l'aide d'un support d'installation ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-40
11-41
Leçon 2
Installation d'un contrôleur de domaine Server Core
La plupart des organisations souhaitent implémenter une sécurité maximale pour les serveurs jouant le rôle de contrôleurs de domaine du fait de la nature sensible des informations stockées dans l'annuaire, notamment les mots de passe des utilisateurs. Bien que la configuration à base de rôles de Windows Server 2008 réduise la surface de sécurité d'un serveur en installant uniquement les composants et services requis par ses rôles, il est possible de réduire encore davantage ces serveurs et leur surface de sécurité en utilisant une installation minimale (Server Core). Server Core est une installation minimale de Windows qui laisse de côté l'interface utilisateur graphique de l'Explorateur Windows et Microsoft .NET Framework. Vous pouvez gérer l'installation minimale à distance, à l'aide des outils d'interface utilisateur graphique, mais pour configurer et gérer un serveur localement, vous devez utiliser les outils de ligne de commande. Dans cet exercice, vous allez apprendre à créer un contrôleur de domaine via la ligne de commande dans le cadre d'une installation minimale. Vous allez également apprendre à supprimer des contrôleurs d'un domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
Identifier les avantages et les fonctionnalités d'une installation minimale
•
Installer et configurer une installation minimale
•
Ajouter et supprimer des services de domaine Active Directory à l'aide des outils de ligne de commande
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-42
11-43
Fonctionnement de Server Core
Points clés Windows Server 2008 (installation minimale), plus connu sous le nom de Server Core, est une installation minimale de Windows qui occupe environ 3 Go d'espace disque et moins de 256 Mo de mémoire. Server Core limite les rôles de serveur et les fonctionnalités qu'il est possible d'ajouter mais améliore la sécurité et les capacités de gestion du serveur en réduisant sa surface d'attaque. Le nombre de services et de composants fonctionnant simultanément étant limité, les intrus éventuels ont moins d'opportunités de compromettre le serveur. Server Core réduit également la charge de gestion du serveur, qui nécessite moins de mises à jour et de maintenance. Server Core prend en charge neuf rôles de serveur : •
Services de domaine Active Directory (AD DS)
•
Services AD LDS (Active Directory Lightweight Directory Services)
•
Serveur DHCP (Dynamic Host Configuration Protocol)
•
Serveur DNS
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Services de fichiers
•
Serveur d'impression
•
Services de diffusion multimédia en continu
•
Serveur Web (IIS) (en tant que serveur Web statique, ASP.NET ne peut pas être installé)
•
Hyper-V™ (Virtualisation Windows Server)
Server Core prend également en charge les 11 fonctionnalités facultatives suivantes : •
Cluster de basculement Microsoft
•
Équilibrage de la charge réseau
•
Sous-système pour les applications UNIX
•
Sauvegarde Windows
•
MPIO (Multipath I/O)
•
Gestion du stockage amovible
•
Chiffrement de lecteur BitLocker® Windows
•
Protocole SNMP (Simple Network Management Protocol)
•
Service WINS
•
Client Telnet
•
Qualité de service (QoS)
Lectures complémentaires •
Option d'installation Server Core : http://go.microsoft.com/fwlink/?LinkId=168473
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-44
11-45
Installation de Windows dans sa version minimale
Points clés Vous pouvez installer Windows dans sa version minimale avec la même procédure que pour une installation complète. Les différences entre une installation complète et une installation minimale sont, tout d'abord, la sélection de l'Installation minimale dans l'Assistant Installation de Windows illustré à la page suivante, puis l'affichage d'une invite de commandes à la place de l'interface Explorateur Windows lorsque vous ouvrez une session à la fin de l'installation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Lorsque vous installez Windows Server 2008 à partir de son DVD, le mot de passe initial du compte Administrateur est vide. Lorsque vous ouvrez pour la première fois une session sur le serveur, utilisez un mot de passe vide. Vous serez invité à modifier le mot de passe lors de la première ouverture de session.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-46
11-47
Commandes de configuration de Server Core
Points clés Lors d'une installation complète de Windows Server 2008, la fenêtre Tâches de configuration initiales s'affiche pour vous guider tout au long de la configuration après installation du serveur. L'installation minimale ne comporte pas d'interface utilisateur graphique, vous devez donc effectuer ces tâches à l'aide des outils de ligne de commande Le tableau suivant répertorie les principales tâches de configuration et les commandes que vous pouvez utiliser. Pour plus d'informations sur une commande, ouvrez une invite de commande et tapez le nom de la commande suivie de /?.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Commandes de configuration de Server Core Tâche Modifier le mot de passe Administrateur
Commande Lorsque vous ouvrez une session avec CTRL+ALT+SUPPR, vous êtes invité à modifier le mot de passe. Vous pouvez également taper la commande suivante : net user administrator *
Définir une configuration IPv4 statique
netsh interface ipv4
Activer Windows Server
cscript c:\windows\system32\slmgr.vbs –ato
Joindre un domaine
netdom
Ajouter des rôles, des composants ou des fonctionnalités à l'installation minimale
ocsetup.exe package ou fonctionnalité
Afficher les rôles, les composants et les fonctionnalités installés
oclist.exe
Activer le Bureau à distance
cscript c:\windows\system32\scregedit.wsf /AR 0
Promouvoir un contrôleur de domaine
dcpromo.exe
Configurer DNS
dnscmd.exe
Configurer DFS
dfscmd.exe
Notez que les noms de package ou de fonctionnalité respectent la casse.
La commande Ocsetup.exe permet d'ajouter des rôles et des fonctionnalités Server Core au serveur. Les services de domaine Active Directory sont la seule exception à cette règle. N'utilisez pas la commande Ocsetup.exe pour ajouter ou supprimer AD DS. Utilisez dans ce cas la commande Dcpromo.exe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-48
11-49
L'Assistant Installation des services de domaine Active Directory n'étant pas disponible lors d'une installation minimale, vous devez utiliser la ligne de commande pour exécuter Dcpromo.exe avec les paramètres qui configurent AD DS. Pour plus d'informations sur les paramètres de la commande dcpromo.exe, ouvrez une ligne de commande et tapez dcpromo.exe /?. Chaque scénario de configuration s'accompagne d'informations d'utilisation complémentaires. Par exemple, tapez dcpromo.exe /?:Promotion pour obtenir des instructions d'utilisation détaillées sur la promotion d'un contrôleur de domaine.
Lectures complémentaires •
Annexe des paramètres d'installation sans assistance : http://go.microsoft.com/fwlink/?LinkId=168474
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Atelier pratique B : Installation d'un contrôleur de domaine Server Core
Scénario Vous êtes administrateur de domaine chez Contoso, Ltd. et vous souhaitez ajouter un contrôleur de domaine dans l'environnement AD DS. Pour renforcer la sécurité du nouveau contrôleur de domaine, vous envisagez d'utiliser une installation minimale. Vous avez déjà effectué une installation minimale sur un nouvel ordinateur et êtes prêt à configurer le serveur en tant que contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-50
11-51
Exercice 1 : Configuration après l'installation minimale Dans cet exercice, vous allez effectuer une configuration après l'installation du serveur afin de le préparer en utilisant le nom et les paramètres TCP/IP requis pour les exercices restant de cet atelier. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Configuration après l'installation minimale.
Tâche 1 : Préparation de l'atelier pratique L'ordinateur virtuel 6238B-HQDC01-A doit être prêt après l'Atelier pratique A. •
Démarrez 6238B-HQDC01-A sans ouvrir de session.
•
Démarrez 6238B-HQDC03-A sans ouvrir de session.
Tâche 2 : Configuration après l'installation minimale •
Ouvrez une session sur l'ordinateur HQDC03 avec le compte Administrator et le mot de passe Pa$$w0rd.
•
Configurez l'adresse IPv4 et le serveur DNS en tapant chacune des commandes suivantes : netsh interface ipv4 set address name="Local Area Connection" source=static address=10.0.0.13 mask=255.255.255.0 gateway=10.0.0.1
netsh interface ipv4 set dns name="Local Area Connection" source=static address=10.0.0.11 primary
•
Vérifiez la configuration IP saisie précédemment avec la commande ipconfig /all.
•
Renommez le serveur en tapant netdom renamecomputer %nomOrdinateur% /newname:HQDC03. Vous serez invité à appuyer sur Y pour confirmer l'opération.
•
Redémarrez en tapant shutdown -r -t 0.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Ouvrez une session en tant qu'Administrator avec le mot de passe Pa$$w0rd.
•
Rejoignez le domaine à l'aide de la commande suivante : netdom join %nomOrdinateur% /domain:contoso.com /UserD:CONTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd /OU:"ou=servers,dc=contoso,dc=com"
•
Redémarrez en tapant shutdown -r -t 0. Résultats : Au terme de cet exercice, vous aurez configuré l'installation minimale en tant que membre du domaine contoso.com sous le nom HQDC03.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-52
11-53
Exercice 2 : Création d'un contrôleur de domaine via l'installation minimale Dans cet exercice, vous allez ajouter les rôles DNS et AD DS à l'installation minimale. Les tâches principales de cet exercice sont les suivantes : 1.
Ajouter le rôle de serveur DNS à l'installation minimale.
2.
Créer un contrôleur de domaine dans l'installation minimale via la commande dcpromo.exe.
Tâche 1 : Ajout du rôle de serveur DNS à l'installation minimale •
Ouvrez une session sur l'ordinateur HQDC03 avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Affichez les rôles de serveur disponibles en tapant oclist. Quel est l'identifiant du package du rôle de serveur DNS ? Quel est son état ?
•
Tapez ocsetup et appuyez sur ENTRÉE. Surprise ! L'installation minimale comprend un minimum d'interface utilisateur graphique. Cliquez sur OK pour fermer la fenêtre.
•
Tapez ocsetup DNS-Server-Core-Role. Remarquez que les identifiants de package respectent la casse.
•
Tapez oclist et vérifiez que le rôle de serveur DNS a bien été installé.
Tâche 2 : Création d'un contrôleur de domaine dans l'installation minimale via la commande dcpromo.exe •
Vérifiez que vous êtes toujours connecté sur l'ordinateur HQDC03 avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Tapez dcpromo.exe /? et appuyez sur ENTRÉE. Passez en revue les informations d'utilisation.
•
Tapez dcpromo.exe /?:Promotion et appuyez sur ENTRÉE. Passez en revue les informations d'utilisation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Tapez la commande suivante pour ajouter et configurer le rôle AD DS, puis appuyez sur ENTRÉE : dcpromo /unattend /ReplicaOrNewDomain:replica /ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes /UserName:CONTOSO\Pat.Coleman_Admin /Password:* /safeModeAdminPassword:Pa$$w0rd
•
Lorsque vous êtes invité à saisir des informations d'identification réseau, tapez Pa$$w0rd, puis cliquez sur OK. Le rôle AD DS est installé et configuré, puis le serveur redémarre. Résultats : Au terme de cet exercice, vous aurez promu le serveur d'installation minimale, HQDC03, en contrôleur du domaine contoso.com.
Remarque : vous pouvez arrêter les deux ordinateurs virtuels car l'atelier suivant en utilise d'autres.
Questions de contrôle des acquis Question : Avez-vous trouvé la configuration d'une installation minimale particulièrement difficile ? Question : Quels sont les avantages de l'utilisation d'une installation minimale pour les contrôleurs de domaine ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-54
11-55
Leçon 3
Gestion des maîtres d'opérations
Dans un domaine Active Directory, tous les contrôleurs de domaine sont équivalents. Ils sont tous capables d'écrire dans la base de données et de répliquer les modifications dans les autres contrôleurs de domaine. Toutefois, dans une topologie de réplication multimaître, certaines opérations doivent être effectuées par un seul et unique système. Dans un domaine Active Directory, les maîtres d'opération sont les contrôleurs de domaine chargés de ce rôle spécifique. Les autres contrôleurs de domaine sont capables de jouer ce rôle mais ne le font pas. Cette leçon décrit les cinq maîtres d'opérations disponibles dans les forêts et domaines Active Directory. Vous découvrirez leurs objectifs et apprendrez à identifier les maîtres d'opérations dans votre entreprise et les nuances de l'administration et du transfert des rôles.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
définir l'objectif des cinq opérations à maître unique des forêts Active Directory ;
•
identifier les contrôleurs de domaine jouant le rôle de maître d'opérations ;
•
planifier l'emplacement des rôles de maître d'opérations ;
•
transférer et capter des rôles de maître d'opérations.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-56
11-57
Fonctionnement des opérations à maître unique
Points clés Dans toute base de données répliquée, certaines modifications doivent être exécutées par un seul et unique réplica car une exécution en mode multimaître serait quasiment impossible. Active Directory ne fait pas exception à cette règle. Un nombre limité d'opérations ne peuvent pas se produire simultanément en des emplacements différents et doivent être confiées à un seul contrôleur de domaine d'une forêt ou d'un domaine. Ces opérations, et les contrôleurs de domaine qui les exécutent, sont désignés par différents termes : •
Maîtres d'opérations
•
Rôles de maître d'opérations
•
Rôles de maître unique
•
Jetons d'opération
•
Opérations à maître unique flottant (FSMO)
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Quel que soit le terme utilisé, l'idée est la même. Un seul contrôleur de domaine effectue une fonction et, pendant cette opération, aucun autre contrôleur de domaine n'effectue cette même fonction. Tous les contrôleurs de domaine Active Directory sont capables d'exécuter des opérations à maître unique. Le contrôleur de domaine qui effectue véritablement l'opération est celui qui détient actuellement le jeton de l'opération. Un jeton d'opération, donc le rôle, peut aisément être transmis à un autre contrôleur de domaine sans redémarrage. Pour réduire les risques de points de défaillance uniques, les jetons d'opération peuvent être répartis entre plusieurs contrôleurs de domaine. AD DS contient cinq rôles de maître d'opérations. Deux rôles sont exécutés pour l'ensemble de la forêt : •
Maître d'opérations des noms de domaine
•
Maître d'opérations du schéma
Trois rôles sont effectués dans chaque domaine : •
Identificateur relatif (RID)
•
Infrastructure
•
Émulateur PDC
Chacun de ces rôles est détaillé dans les sections suivantes. Quand la forêt ne comprend qu'un seul domaine, cinq maîtres d'opérations sont présents. Une forêt à deux domaines comprend huit maîtres d'opérations car les trois rôles de maîtres de domaine sont implémentés séparément dans chacun des deux domaines.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-58
11-59
Rôles de maître d'opérations
Points clés Rôles de maître d'opérations à l'échelle d'une forêt Le maître de schéma et le maître de nom de domaine doivent être uniques au sein de la forêt. Chaque rôle est exécuté par un seul contrôleur de domaine dans l'ensemble de la forêt. Rôle de maître d'opérations des noms de domaine Le rôle des noms de domaine sert à ajouter ou supprimer des domaines dans la forêt. Lorsque vous ajoutez ou supprimer un domaine, le maître de noms de domaine doit être accessible. Si ce n'est pas le cas, l'opération échoue. Rôle de contrôleur de schéma Le contrôleur de domaine qui détient le rôle de contrôleur de schéma est chargé d'effectuer toutes les modifications apportées au schéma de la forêt. Tous les autres contrôleurs de domaine détiennent des réplicas du schéma en lecture seule. Pour modifier le schéma ou installer une application qui le modifie, il est conseillé d'effectuer l'opération sur le contrôleur de domaine qui détient le rôle de contrôleur de schéma. En effet, pour être inscrites dans le schéma, les modifications demandées doivent être envoyées au contrôleur de schéma.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Rôles de maître d'opérations à l'échelle d'un domaine Chaque domaine conserve trois opérations à maître unique : RID, Infrastructure et Émulateur PDC. Chaque rôle est exécuté par un seul et unique contrôleur du domaine. Rôle de maître RID Le maître RID joue un rôle essentiel dans la génération des identifiants de sécurité (SID) pour les entités de sécurité comme les utilisateurs, les groupes et les ordinateurs. L'identifiant SID d'une entité de sécurité doit être unique. Tout contrôleur de domaine pouvant créer des comptes, donc des SID, un mécanisme doit garantir que les SID générés par un contrôleur de domaine sont uniques. Les contrôleurs de domaine Active Directory génèrent des SID en affectant un RID unique au SID du domaine. Le maître RID du domaine attribue des pools de RID uniques à chaque contrôleur du domaine. Chacun d'eux sait ainsi avec certitude que les SID qu'il génère sont uniques. Remarque : le rôle de maître RID correspond au rôle DHCP pour les SID. Si vous connaissez le concept d'attribution d'une étendue d'adresses IP que le serveur DHCP peut affecter aux clients, vous pouvez faire le parallèle avec un maître RID, qui alloue des pools de RID aux contrôleurs de domaine pour la création des SID.
Rôle de maître d'infrastructure Dans un environnement à plusieurs domaines, un objet fait souvent référence aux objets des autres domaines. Un groupe, par exemple, peut inclure des membres d'un autre domaine. Son attribut de membre à plusieurs valeurs contient les noms uniques de chaque membre. Si le membre de l'autre domaine est déplacé ou renommé, le maître d'infrastructure du domaine du groupe actualise en conséquence l'attribut de membre du groupe. Remarque : concernant le maître d'infrastructure, vous pouvez le considérer comme un périphérique de suivi des membres de groupes issus d'autres domaines. Lorsque ces membres sont renommés ou déplacés dans l'autre domaine, le maître d'infrastructure s'aperçoit du changement et modifie les appartenances de groupe de façon appropriée afin qu'elles restent à jour.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-60
11-61
Rôle d'émulateur PDC Le rôle d'émulateur PDC joue plusieurs fonctions essentielles pour un domaine : •
Il émule un contrôleur de domaine principal (PDC) pour la compatibilité descendante. À l'époque des domaines Windows NT® 4.0, seul le PDC pouvait modifier l'annuaire. Les outils, utilitaires et clients précédents, conçus pour prendre en charge Windows NT 4.0, ne savaient pas que tous les contrôleurs de domaine Active Directory pouvaient écrire dans l'annuaire. Ces outils demandaient donc une connexion au PDC. Le contrôleur de domaine qui détient le rôle d'émulateur PDC s'enregistre lui-même en tant que PDC pour que les applications de bas niveau puissent localiser un contrôleur de domaine inscriptible. Active Directory ayant près de 10 ans aujourd'hui, ces applications sont moins courantes et si votre entreprise en utilise, pensez à les mettre à niveau pour assurer une compatibilité Active Directory complète.
•
Il participe à la gestion des mises à jour de mot de passe pour le domaine. Lorsque le mot de passe d'un utilisateur est réinitialisé ou modifié, le contrôleur de domaine qui effectue les modifications les réplique immédiatement dans l'émulateur PDC. Cette réplication particulière permet de s'assurer que les contrôleurs de domaine connaissent le nouveau mot de passe aussi rapidement que possible. Lorsqu'un utilisateur tente d'ouvrir une session immédiatement après avoir modifié son mot de passe, le contrôleur de domaine qui répond à cette demande d'ouverture de session peut ne pas connaître le nouveau mot de passe. Avant de rejeter la tentative de connexion, le contrôleur de domaine transmet la demande d'authentification à un émulateur PDC qui vérifie l'exactitude du nouveau mot de passe et indique au contrôleur de domaine d'accepter la demande. Cette fonction implique que, chaque fois qu'un utilisateur saisit un mot de passe incorrect, l'authentification est transmise à l'émulateur PDC pour obtenir un deuxième avis. L'émulateur PDC doit donc être largement accessible à tous les clients du domaine. Il doit s'agir d'un contrôleur de domaine à hautes performances et bien connecté.
•
Il gère les mises à jour de la stratégie de groupe au sein d'un domaine. La modification quasi simultanée d'un objet de stratégie du groupe (GPO) dans deux contrôleurs de domaine peut entraîner des conflits entre les deux versions, conflits que la réplication du GPO peut ne pas résoudre. Pour éviter cette situation, l'émulateur PDC joue le rôle de point focal pour toutes les modifications de la stratégie de groupe. Lorsque vous ouvrez un objet GPO dans l'Éditeur de gestion des stratégies de groupe (GPME), ce dernier se relie au contrôleur de domaine qui joue le rôle d'émulateur PDC. Par défaut, toutes les modifications apportées aux objets GPO sont donc effectuées au niveau de l'émulateur PDC.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Il fournit une source d'heure de référence au domaine. Active Directory, Kerberos, le service de réplication de fichiers (FRS) et la réplication DFSR s'appuient tous sur des horodatages. La synchronisation de l'heure dans tous les systèmes d'un domaine est donc cruciale. L'émulateur PDC du domaine racine de la forêt fournit, par défaut, l'horodatage maître de l'ensemble de la forêt. Les émulateurs PDC de chaque domaine synchronisent leur heure avec l'émulateur PDC racine de la forêt. Les autres contrôleurs du domaine synchronisent leurs horloges sur celle de l'émulateur PDC de ce domaine. Tous les autres membres du domaine synchronisent leur horloge avec celle de leur contrôleur de domaine favori. Cette structure hiérarchique de synchronisation de l'heure, implémentée par l'intermédiaire du service Win32Time, garantit la cohérence des horloges. L'horloge en temps universel (UTC) est synchronisée, et le réglage de l'heure affichée aux utilisateurs s'effectue en fonction du paramètre de fuseau horaire de l'ordinateur.
Remarque : ne modifiez le service d'horloge que d'une seule manière. Il est fortement recommandé d'autoriser Windows à conserver ses mécanismes natifs de synchronisation du temps par défaut. La seule modification que vous pouvez effectuer consiste à configurer l'émulateur PDC du domaine racine de la forêt pour qu'il effectue la synchronisation à partir d'une autre source d'heure. Si vous ne définissez pas de source de date et d'heure pour l'émulateur PDC, les erreurs enregistrées par le journal des événements Système vous rappelleront de le faire. Pour plus d'informations, consultez http://go.microsoft.com/fwlink/?LinkId=91969 et les articles cités en référence.
•
Il joue le rôle d'explorateur principal de domaine. Lorsque vous ouvrez le dossier Réseau de Windows, vous obtenez la liste des groupes de travail et des domaines. Lorsque vous ouvrez un groupe de travail ou un domaine, vous obtenez la liste des ordinateurs. Ces deux listes, appelées listes de parcours, sont créées par le service Explorateur. Dans chaque segment réseau, un explorateur maître crée la liste de parcours : les listes des groupes de travail, des domaines et des serveurs de ce segment. L'explorateur maître du domaine fusionne les listes de chaque explorateur maître pour que les clients de parcours puissent récupérer une liste de parcours complète.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-62
11-63
Optimisation de l'emplacement des maîtres d'opérations
Points clés Lorsque vous créez le domaine racine de la forêt et son premier contrôleur de domaine, ce dernier joue les cinq rôles de maître d'opérations. Lorsque vous ajoutez des contrôleurs au domaine, vous pouvez confier des rôles de maître d'opérations aux autres contrôleurs de domaine afin d'équilibrer la charge entre ces derniers ou pour optimiser l'emplacement d'une opération à maître unique. En matière d'emplacement des rôles de maître d'opérations, les recommandations sont les suivantes : •
Choisissez le même emplacement pour le maître du schéma et le maître des noms de domaine. Les rôles de maître du schéma et de maître des noms de domaine doivent être placés dans un même contrôleur de domaine, également serveur de Catalogue global (GC). Ces rôles ne sont que rarement utilisés et le contrôleur de domaine qui les hébergent doit être fortement sécurisé. Le maître des noms de domaine doit être hébergé par un serveur de catalogue global car, lors de l'ajout d'un nouveau domaine, il doit pouvoir vérifier qu'aucun objet ne porte le même nom que le nouveau domaine, quel que soit le type d'objet. La réplique partielle du catalogue global contient le nom de chacun des objets de la forêt. La charge liée à ces rôles de maître d'opérations reste très légère, sauf lorsque des modifications sont apportées au schéma.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Choisissez le même emplacement pour les rôles de maître RID et d'émulateur PDC. Placez les rôles de maître RID et d'émulateur PDC dans un même contrôleur de domaine. Si la charge implique de placer ces rôles dans deux contrôleurs de domaine distincts, les deux systèmes doivent être physiquement bien connectés et disposer d'objets de connexion explicites créés dans Active Directory de manière à être des partenaires de réplication directs. Ils doivent également être des partenaires de réplication directs pour les contrôleurs de domaine sélectionnés comme maîtres d'opérations de secours.
•
Placez le maître d'infrastructure dans un contrôleur de domaine qui ne soit pas un serveur de catalogue global. Le maître d'infrastructure doit être placé dans un contrôleur de domaine qui ne joue pas le rôle de serveur de catalogue global mais qui soit physiquement bien connecté à un tel serveur. Le maître d'infrastructure doit disposer, dans Active Directory, d'objets explicites de connexion à ce serveur de catalogue global pour qu'ils puissent être des partenaires de réplication directs. Le maître d'infrastructure peut être placé dans le contrôleur de domaine jouant également le rôle de maître RID et d'émulateur PDC.
Remarque : le fait qu'ils soient tous des serveurs de catalogue global ou non n'a pas d'importance. Lorsque tous les contrôleurs d'un domaine sont également serveur de catalogue global, ce que recommandait le Module 12 « Configuration des sites et de la réplication Active Directory », savoir quel contrôleur de domaine joue le rôle de maître d'infrastructure importe peu. Dans un tel cas, tous les contrôleurs de domaine disposent d'informations à jour sur chaque objet de la forêt et le rôle de maître d'infrastructure n'est donc plus nécessaire.
•
Disposez d'un plan de basculement. Au cours des sections suivantes, vous allez apprendre à transférer des rôles de maître d'opérations uniques entre des contrôleurs de domaine, opération nécessaire en cas de longues périodes d'inactivité, planifiées ou non. Établissez à l'avance un plan de transfert des rôles d'opérations à d'autres contrôleurs de domaine en cas de déconnexion d'un maître d'opérations.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-64
11-65
Identification des maîtres d'opérations
Points clés Pour implémenter votre plan de placement des rôles, vous devez savoir quels contrôleurs de domaine exécutent actuellement des rôles d'opérations à maître unique. Chaque rôle est présenté dans un outil d'administration Active Directory, de même que dans d'autres outils d'interface utilisateur et de ligne de commande.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Pour identifier le maître actuel de chaque rôle, servez-vous des outils suivants : •
Émulateur PDC : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations. Ouvrez l'onglet CDP. La page suivante présente un exemple qui indique que SERVER01.contoso.com est actuellement le maître d'opérations CDP.
•
Maître RID : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations. Ouvrez l'onglet RID.
•
Maître d'infrastructure : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Cliquez du bouton droit sur le domaine et choisissez Maîtres d'opérations. Ouvrez l'onglet Infrastructure.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-66
•
11-67
Maître d'opérations des noms de domaine : composant logiciel enfichable Domaines et approbations Active Directory Cliquez du bouton droit sur le nœud racine du composant logiciel enfichable (Domaines et approbations Active Directory) et choisissez Maître d'opérations.
•
Contrôleur de schéma : composant logiciel enfichable Schéma Active Directory Cliquez du bouton droit sur le nœud racine du composant logiciel enfichable (Schéma Active Directory) et choisissez Maître d'opérations.
Remarque : concernant l'enregistrement du composant logiciel enfichable Schéma Active Directory, vous devez l'inscrire avant de pouvoir créer une console MMC (Microsoft Management Console) personnalisée avec le composant logiciel enfichable. À l'invite de commande, tapez regsvr32 schmmgmt.dll.
D'autres outils permettent également d'identifier les maîtres d'opération, dont les commandes suivantes : •
NTDSUtil ntdsutil roles connections connect to server DomainControllerFQDN:portnumber quit select operation target list roles for connected server quit quit quit
•
dcdiag /test:knowsofroleholders /v
•
netdom query fsmo
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Transfert des rôles de maître d'opérations
Points clés Vous pouvez facilement transférer un rôle de maître d'opérations. Cette opération est nécessaire dans les cas suivants : •
Lorsque vous créez votre forêt, les cinq rôles sont exécutés par le premier contrôleur de domaine que vous installez. Lorsque vous ajoutez un domaine à la forêt, les trois rôles de domaine sont exécutés par le premier contrôleur de ce domaine. Lorsque vous ajoutez d'autres contrôleurs de domaine, vous pouvez répartir les rôles afin de réduire les risques de point unique de défaillance et d'améliorer les performances.
•
Si vous envisagez la mise hors connexion d'un contrôleur de domaine hébergeant actuellement un rôle de maître d'opérations, transférez ce rôle à un autre contrôleur de domaine avant la mise hors connexion.
•
Si vous désaffectez un contrôleur de domaine hébergeant actuellement un rôle de maître d'opérations, transférez ce rôle à un autre contrôleur de domaine avant la désaffectation. L'Assistant Installation des services de domaine Active Directory tentera d'effectuer cette opération automatiquement, mais vous devez être prêt à rétrograder un contrôleur de domaine en transférant ses rôles.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-68
11-69
Pour transférer un rôle de maître d'opérations, procédez comme suit : 1.
Il est recommandé de vérifier que la réplication du nouveau détenteur du rôle a bien été effectuée à partir de l'ancien détenteur du rôle avant de transférer le rôle. Vous pouvez utiliser les techniques décrites au Module 12 pour imposer une réplication entre les deux systèmes.
2.
Ouvrez l'outil d'administration qui expose le maître actuel. Par exemple, ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour transférer l'un des trois rôles de maître du domaine.
3.
Connectez-vous au contrôleur de domaine auquel vous transférez le rôle. Pour ce faire, cliquez du bouton droit sur le nœud racine du composant logiciel enfichable et choisissez Modifier le contrôleur de domaine ou Changer de contrôleur de domaine Active Directory. (La commande diffère selon les composants logiciels enfichables.)
4.
Ouvrez la boîte de dialogue Maître d'opérations. Celle-ci présente le contrôleur de domaine détenant actuellement le jeton de rôle de l'opération. Cliquez sur le bouton Modifier pour transférer le rôle au contrôleur de domaine auquel vous êtes connecté.
Lorsque vous transférez un rôle de maître d'opérations, le maître actuel et le nouveau maître sont en ligne. Le jeton est transféré et le nouveau maître commence immédiatement à jouer son rôle, ce que l'ancien maître cesse aussitôt de faire. Il s'agit là de la meilleure méthode pour déplacer des rôles de maître d'opérations.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Captage des rôles de maître d'opérations
Points clés Identification des défaillances d'un maître d'opérations Plusieurs rôles de maître d'opérations peuvent être indisponibles pendant quelque temps avant que leur absence ne devienne un problème. D'autres jouent un rôle essentiel pour le fonctionnement quotidien de votre entreprise. Pour identifier les problèmes liés aux maîtres d'opérations, examinez le journal des événements du Service d'annuaire. Le plus souvent toutefois, vous ne découvrirez la défaillance d'un maître d'opérations qu'au moment d'utiliser une fonction qu'il gère, et cette fonction échoue. Par exemple, en cas de défaillance du maître RID, vous ne parviendrez pas à créer de nouvelles entités de sécurité. Réponse à la défaillance d'un maître d'opération En cas de défaillance d'un contrôleur de domaine exécutant une opération à maître unique, si vous n'arrivez pas à remettre le système en service, vous avez la possibilité de capter le jeton des opérations. Lorsque vous captez un rôle, vous désignez un nouveau maître sans supprimer correctement le rôle du maître défaillant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-70
11-71
Le captage d'un rôle étant une mesure draconienne, assurez-vous que cette action soit véritablement nécessaire. Identifiez la cause et la durée prévue de la déconnexion du maître d'opérations. Si ce dernier peut être ramené en ligne dans un délai raisonnable, patientez. Comment définir ce délai raisonnable ? Il dépend en fait de l'impact du rôle défaillant. Défaillance de l'Émulateur PDC L'émulateur PDC est le maître d'opérations dont l'impact sur les opérations habituelles et les utilisateurs est le plus immédiat lorsqu'il n'est plus disponible. Par chance, le rôle d'Émulateur PDC peut être capté par un autre contrôleur de domaine, puis retransmis à son détenteur original lorsque le système revient en ligne. Défaillance du maître d'infrastructure Une défaillance du maître d'infrastructure sera détectée par les administrateurs, mais pas par les utilisateurs. Le maître d'infrastructure étant chargé de mettre à jour les noms des membres de groupes appartenant à d'autres domaines, il peut donner l'impression que l'appartenance aux groupes est incorrecte. Cependant, comme nous l'avons mentionné précédemment dans cette leçon, cette appartenance n'est pas réellement affectée. Vous pouvez capter le rôle de maître d'infrastructure et le confier à un autre contrôleur de domaine, puis le retransmettre à son détenteur précédent lorsque le système revient en ligne. Défaillance du maître RID Un maître RID défaillant finit par empêcher les contrôleurs de domaine de créer de nouveaux SID et, par conséquent, vous empêche de créer de nouveaux comptes pour les utilisateurs, les groupes ou les ordinateurs. Le maître RID fournissant toutefois un pool de RID d'une certaine taille aux contrôleurs de domaine, il est généralement possible de rester un certain temps sans maître RID, par exemple jusqu'à ce qu'il soit réparé, sauf si vous générez de nombreux nouveaux comptes. Le captage de ce rôle par un autre contrôleur de domaine est une mesure importante. Après le captage du rôle de maître RID, le contrôleur de domaine qui tenait ce rôle ne peut pas être ramené en ligne. Défaillance du contrôleur de schéma Le rôle de contrôleur de schéma n'est nécessaire que lorsque des modifications sont apportées au schéma, directement par un administrateur ou lors de l'installation d'une application intégrée à Active Directory qui modifie le schéma. Le reste du temps, ce rôle est inutile. Il peut rester hors connexion indéfiniment, jusqu'à ce que des modifications du schéma deviennent nécessaires. Le captage de ce rôle par un autre contrôleur de domaine est une mesure importante. Après le captage du rôle de contrôleur de schéma, le contrôleur de domaine qui tenait ce rôle ne peut pas être ramené en ligne.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Défaillance du maître des noms de domaine Le rôle de maître des noms de domaine est uniquement nécessaire lorsque vous ajoutez un domaine à la forêt ou lorsque vous supprimez un domaine dans une forêt. Jusqu'à ce que de telles modifications soient requises pour l'infrastructure de votre domaine, le rôle de maître des noms de domaine peut demeurer hors connexion pendant une période indéfinie. Le captage de ce rôle par un autre contrôleur de domaine est une mesure importante. Après le captage du rôle de maître des noms de domaine, le contrôleur de domaine qui tenait ce rôle ne peut pas être ramené en ligne. Captage d'un rôle de maître d'opérations Bien qu'il soit possible de transférer des rôles à l'aide des outils d'administration, vous devez utiliser la commande Ntdsutil.exe pour capter un rôle. Pour capter un rôle de maître d'opérations, procédez comme suit : 1.
À l'invite de commande, tapez ntdsutil, puis appuyez sur ENTRÉE.
2.
À l'invite de commande ntdsutil, tapez roles et appuyez sur ENTRÉE. Les étapes suivantes établissent une connexion au contrôleur de domaine auquel vous souhaitez confier le rôle d'opération à maître unique.
3.
À l'invite Maintenance Fsmo, tapez connections et appuyez sur ENTRÉE.
4.
À l'invite de connexion au serveur, tapez connect to server NomCompletContrôleurDomaine et appuyez sur ENTRÉE. NomCompletContrôleurDomaine est le nom de domaine complet du contrôleur de domaine auquel vous souhaitez confier le rôle. Ntdsutil répond que la connexion au serveur a été établie.
5.
À l'invite de connexion au serveur, tapez quit et appuyez sur ENTRÉE.
6.
À l'invite Maintenance Fsmo, tapez seize rôle et appuyez sur ENTRÉE. Rôle correspond à l'un des éléments suivants : •
Contrôleur de schéma
•
Maître des noms de domaine
•
Maître RID
•
Contrôleur de domaine principal (PDC)
•
Maître d'infrastructure
7.
À l'invite Maintenance Fsmo, tapez quit et appuyez sur ENTRÉE.
8.
À l'invite de commande ntdsutil, tapez quit et appuyez sur ENTRÉE.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-72
11-73
Restitution d'un rôle à son détenteur d'origine Pour qu'il soit possible de planifier une période de temps d'arrêt pour un contrôleur de domaine lorsqu'un rôle a été transféré, mais pas capté, ce rôle peut être restitué à son contrôleur de domaine d'origine. Toutefois, lorsque le rôle a été capté et que le maître précédent peut être ramené en ligne, soyez extrêmement prudent. L'émulateur PDC et le maître d'infrastructure sont les seuls rôles de maître d'opérations qui peuvent être restitués au maître d'origine après avoir été captés. Remarque : ne remettez jamais en service un contrôleur de schéma, un maître de noms de domaine ou un maître RID qui a été capté. Lorsque ces rôles ont été captés, vous devez désaffecter entièrement le contrôleur de domaine d'origine.
Si vous avez capté les rôles de contrôleur de schéma, de maître de noms de domaine ou de maître RID pour les confier à un autre contrôleur de domaine, ne remettez pas en ligne le contrôleur de domaine d'origine sans l'avoir auparavant entièrement désaffecter. Cela signifie que le détenteur du rôle d'origine doit être physiquement déconnecté du réseau et que vous devez supprimer AD DS avec la commande dcpromo /forceremoval. Vous devez également nettoyer les métadonnées de ce contrôleur de domaine selon les instructions fournies à l'adresse http://go.microsoft.com/fwlink/?LinkId=80481. Lorsque le contrôleur de domaine a été entièrement supprimé d'Active Directory, vous pouvez le reconnecter au réseau et y joindre un domaine si vous le souhaitez. Si vous voulez en faire un contrôleur de domaine, vous pouvez le promouvoir. Si vous souhaitez qu'il reprenne le rôle de maître d'opérations, vous pouvez lui reconfier ce rôle. Remarque : il est préférable de tout reconstruire. Du fait de la nature sensible des contrôleurs de domaine, il est préférable dans ce cas de réinstaller entièrement l'ancien contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Atelier pratique C : Transfert des rôles de maître d'opérations
Scénario Vous êtes administrateur de domaine chez Contoso, Ltd. L'alimentation redondante de l'ordinateur HQDC01 est défaillante et vous devez mettre le serveur hors connexion pour assurer sa maintenance. Vous préférez vous assurer que les opérations AD DS ne soient pas interrompues pendant la mise hors connexion du serveur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-74
11-75
Exercice 1 : Identification des maîtres d'opérations Dans cet exercice, vous allez vous servir de l'interface utilisateur et des outils de ligne de commande pour identifier les maîtres d'opérations du domaine contoso.com. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Identifier des maîtres d'opérations à l'aide des composants logiciels enfichables administratifs d'Active Directory.
3.
Identifier des maîtres d'opérations à l'aide de la commande NetDom.
Tâche 1 : Préparation de l'atelier pratique •
Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
•
Ouvrez D:\Labfiles\Lab11c.
•
Exécutez Lab11c_Setup.bat avec des droits administratifs. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.
•
Fermez la fenêtre de l'Explorateur Windows, Lab11c.
•
Démarrez 6238B-HQDC02-B sans ouvrir de session.
Tâche 2 : Identification des maîtres d'opérations à l'aide des composants logiciels enfichables administratifs d'Active Directory •
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Utilisez Utilisateurs et ordinateurs Active Directory pour identifier les détenteurs des jetons de rôle de maître d'opérations RID, PDC et Infrastructure. Quel contrôleur de domaine détient ces rôles ?
•
Fermez Utilisateurs et ordinateurs Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Exécutez Domaines et approbations Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Utilisez Domaines et approbations Active Directory pour identifier les détenteurs des jetons de rôle de maître d'opérations des noms de domaine. Quel contrôleur de domaine détient ce rôle ?
•
Fermez Domaines et approbations Active Directory.
•
Exécutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Tapez regsvr32 schmmgmt.dll et appuyez sur ENTRÉE.
•
Exécutez la commande mmc.exe en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Ajoutez le composant logiciel enfichable Schéma Active Directory dans la console.
•
Utilisez Schéma Active Directory pour identifier les détenteurs des jetons de rôle de maître d'opérations contrôleur de schéma. Quel contrôleur de domaine détient ce rôle ?
•
Fermez la console. Il n'est pas nécessaire d'enregistrer les modifications.
Tâche 3 : Identification des maîtres d'opérations à l'aide de la commande NetDom •
Exécutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Tapez la commande netdom query fsmo et appuyez sur ENTRÉE. Résultats : Au terme de cet exercice, vous aurez utilisé les composants logiciels enfichables administratifs et la commande NetDom pour identifier les maîtres d'opérations.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-76
11-77
Exercice 2 : Transfert des rôles de maître d'opérations Dans cet exercice, vous allez préparer la mise hors connexion d'un maître d'opérations en transférant ses rôles à un autre contrôleur de domaine. Vous simulerez ensuite la mise hors connexion, la remise en ligne et la restitution du rôle de maître d'opérations. Les tâches principales de cet exercice sont les suivantes : 1.
Transférer le rôle PDC avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
2.
Examiner les autres rôles avant la mise hors connexion d'un contrôleur de domaine.
3.
Transférer le rôle PDC avec la commande NTDSUtil.
Tâche 1 : Transfert du rôle PDC avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory •
Exécutez Utilisateurs et ordinateurs Active Directory en tant qu’administrateur, avec le nom d’utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Connectez-vous à HQDC02. Avant de transférer un maître d'opérations, vous devez vous connecter au contrôleur de domaine auquel vous souhaitez confier ce rôle. Le nœud racine du composant logiciel enfichable présente le contrôleur de domaine auquel vous êtes connecté : Utilisateurs et ordinateurs Active Directory [hqdc02.contoso.com].
•
Transférez le rôle de maître d'opérations PDC à l'ordinateur HQDC02.
Tâche 2 : Examen des autres rôles avant la mise hors connexion d'un contrôleur de domaine Vous êtes prêt à mettre l'ordinateur HQDC01 hors connexion. Vous venez de transférer le rôle de maître d'opérations PDC à l'ordinateur HQDC02. •
Dressez la liste des autres rôles de maîtres d'opérations qu'il est nécessaire de transférer avant de mettre HQDC01 hors connexion.
•
Dressez la liste des autres rôles de serveur qu'il est nécessaire de transférer avant de mettre HQDC01 hors connexion.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Tâche 3 : Transfert du rôle PDC avec la commande NTDSUtil La maintenance de l'ordinateur HQDC01 est à présent terminée. Vous le remettez donc en ligne. N'oubliez pas que vous ne pouvez pas ramener un contrôleur de domaine en ligne si les rôles de maître RID, de contrôleur de schéma ou de maître des noms de domaine ont été captés. Vous pouvez cependant le remettre en ligne si le rôle a été transféré. •
Exécutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Utilisez NTDSUtil pour vous connecter à HQDC01 et lui restituer le rôle PDC. Résultats : Au terme de cet exercice, vous aurez transféré le rôle PDC à l'ordinateur HQDC02 via le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis restitué ce rôle à l'ordinateur HQDC01 via la commande NTDSUtil.
Remarque : vous pouvez arrêter ces ordinateurs virtuels lorsque vous avez terminé car leur redémarrage est nécessaire pour l'atelier suivant.
Questions de contrôle des acquis Question : Si vous transférez tous les rôles avant de mettre un contrôleur de domaine hors connexion, est-il possible de le remettre en ligne ? Question : Si un contrôleur de domaine est défaillant et que vous captez ses rôles pour les confier à un autre contrôleur de domaine, est-il possible de remettre le contrôleur de domaine défaillant en ligne ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-78
11-79
Leçon 4
Configuration de la réplication DFSR du dossier SYSVOL
Le dossier SYSVOL, situé par défaut dans %SystemRoot%\SYSVOL, contient les scripts de connexion, les modèles de stratégie de groupe (GPT) et d'autres ressources essentielles pour le bon fonctionnement et la gestion d'un domaine Active Directory. Dans l'idéal, le dossier SYSVOL doit être identique dans chaque contrôleur de domaine. Toutefois, des modifications étant parfois apportées aux objets de stratégie de groupe et aux scripts de connexion, vous devez vérifier que ces modifications soient bien répliquées dans tous les contrôleurs de domaine. Dans les versions précédentes de Windows, les services FRS permettaient de répliquer le contenu du dossier SYSVOL entre des contrôleurs de domaine. Les limites des services FRS, en termes de capacités et de performances, entraînent parfois leur blocage. Malheureusement, la résolution des problèmes et la configuration des services FRS sont assez difficiles. Dans les domaines Windows Server 2008, vous avez la possibilité d'utiliser la réplication DFSR pour répliquer le contenu du dossier SYSVOL. Dans cette leçon, vous allez apprendre à effectuer la migration du dossier SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
augmenter le niveau fonctionnel du domaine ;
•
migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-80
11-81
Augmentation du niveau fonctionnel du domaine
Points clés Le Module 1, « Présentation des services de domaine Active Directory », introduisait le concept de niveaux fonctionnels des domaines et des forêts. Le Module 14, « Gestion de plusieurs domaines et forêts », vous permettra d'étudier en détail ces niveaux fonctionnels des domaines et des forêts. Le niveau fonctionnel d'un domaine est un paramètre qui limite les systèmes d'exploitation pris en charge en tant que contrôleurs d'un domaine et active des fonctionnalités supplémentaires d'Active Directory. Le niveau fonctionnel d'un domaine doté d'un contrôleur de domaine Windows Server 2008 peut être l'un des trois suivants : Windows 2000 Natif, Windows Server 2003 Natif et Windows Server 2008. Au niveau fonctionnel de domaine natif Windows 2000, les contrôleurs de domaine peuvent exécuter Windows 2000 Server ou Windows Server 2003. Au niveau fonctionnel de domaine natif Windows Server 2003, les contrôleurs de domaine peuvent exécuter Windows Server 2003. Au niveau fonctionnel de domaine Windows Server 2008, tous les contrôleurs de domaine doivent exécuter Windows Server 2008.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Lorsque vous augmentez les niveaux fonctionnels, de nouvelles capacités d'Active Directory sont activées. Au niveau fonctionnel de domaine Windows Server 2008, par exemple, vous pouvez utiliser la réplication DFSR pour répliquer le contenu du dossier SYSVOL. La simple mise à niveau de tous les contrôleurs de domaine vers Windows Server 2008 ne suffit pas : vous devez augmenter le niveau fonctionnel du domaine en utilisant pour ce faire Domaines et approbations Active Directory. Pour augmenter le niveau fonctionnel d'un domaine : 1.
Exécutez le composant logiciel enfichable Domaines et approbations Active Directory.
2.
Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine.
3.
Sélectionnez le niveau fonctionnel Windows Server 2008, puis cliquez sur Augmenter.
Une fois le niveau fonctionnel du domaine défini sur Windows Server 2008, vous ne pouvez pas y ajouter de contrôleurs de domaine fonctionnant sous Windows Server 2003 ou Windows 2000 Server. Le niveau fonctionnel est associé uniquement aux systèmes d'exploitation des contrôleurs de domaine. Les serveurs et les stations de travail membres peuvent exécuter Windows Server 2003, Windows 2000 Server, Windows Vista®, Windows XP ou Windows 2000.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-82
11-83
Fonctionnement des phases de la migration
Points clés Le dossier SYSVOL étant indispensable pour le bon fonctionnement de votre domaine, Windows ne propose pas de mécanisme permettant de passer instantanément du Service FRS à la Réplication DFSR du dossier SYSVOL. En réalité, la migration vers une réplication DFSR implique la création d'une structure SYSVOL parallèle. Lorsque cette structure parallèle a bien été mise en place, les clients sont redirigés vers la nouvelle structure en tant que volume système du domaine. Lorsque l'opération a bien été effectuée et que son fonctionnement a été vérifié, vous pouvez éliminer le service FRS. La migration vers la réplication DFSR comprend quatre phases ou états : •
0 (début) : état par défaut d'un contrôleur de domaine. Seul le service FRS est utilisé pour répliquer le dossier SYSVOL.
•
1 (préparé) : une copie du dossier SYSVOL est créée dans un dossier nommé SYSVOL_DFSR et ajoutée à un jeu de réplication. Le service DFSR commence à répliquer le contenu des dossiers SYSVOL_DFSR dans tous les contrôleurs de domaine. Le service FRS poursuit cependant la réplication des dossiers SYSVOL d'origine et les clients continuent à utiliser le dossier SYSVOL.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
2 (redirigé) : le partage SYSVOL, qui fait initialement référence au dossier SYSVOL\domain\sysvol, est modifié de manière à référencer le dossier SYSVOL_DFSR\domain\sysvol. Les clients utilisent à présent le dossier SYSVOL_DFSR pour récupérer les scripts de connexion et les modèles de stratégie de groupe.
•
3 (éliminé) : la réplication de l'ancien dossier SYSVOL par le service FRS est interrompue. Le dossier SYSVOL d'origine n'est cependant pas supprimé. Si vous souhaitez le supprimer dans son intégralité, vous devez le faire manuellement.
Pour faire passer vos contrôleurs de domaine à travers ces phases, utilisez la commande DFSMig. Trois options sont disponibles avec la commande dfsrmig.exe : •
setglobalstate état L'option setglobalstate configure l'état actuel de la migration du service de réplication DFSR global, qui s'applique à tous les contrôleurs de domaine. L'état est défini par le paramètre état, compris entre 0 et 3. Le nouvel état de la migration de réplication DFSR est signalé à chaque contrôleur de domaine qui migre automatiquement vers cet état.
•
getglobalstate L'option getglobalstate indique l'état actuel de la migration DFSR globale.
•
getmigrationstate L'option getmigrationstate indique l'état de migration actuel de chaque contrôleur de domaine. Le signalement du nouvel état de migration DFSR global aux contrôleurs de domaine pouvant prendre un certain temps, et la réalisation des modifications requises par cet état par un contrôleur de domaine pouvant être encore plus longue, les contrôleurs de domaine ne sont pas instantanément synchronisés avec l'état global. L'option getmigrationstate vous permet de contrôler la progression des contrôleurs de domaine par rapport à l'état actuel de la migration DFSR globale.
En cas de problème lors du passage d'un état au suivant, vous pouvez rétablir les états précédents avec l'option setglobalstate. Toutefois, une fois que vous avez utilisé l'option setglobalstate pour définir l'état 3 (éliminé), vous ne pouvez plus rétablir les états antérieurs.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-84
11-85
Migration vers la réplication DFSR du dossier SYSVOL
Points clés Pour faire migrer la réplication SYSVOL du Service de réplication de fichiers (FRS) vers la Réplication du système de fichiers distribué (DFSR), procédez comme suit : 1.
Ouvrez le composant logiciel enfichable Domaines et approbations Active Directory.
2.
Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine.
3.
Si le champ Niveau fonctionnel du domaine actuel n'indique pas Windows Server 2008, choisissez Windows Server 2008 dans la liste Sélectionner un niveau fonctionnel du domaine disponible.
4.
Cliquez sur Augmenter. Cliquez à deux reprises sur OK dans les boîtes de dialogue qui s'affichent.
5.
Ouvrez une session sur un contrôleur de domaine et ouvrez une invite de commande.
6.
Tapez dfsrmig /setglobalstate 1.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
7.
Tapez dfsrmig /getmigrationstate pour connaître la progression des contrôleurs de domaine vis-à-vis de l'état global Préparé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état. Cette opération peut prendre 15 minutes à une heure, voire davantage.
8.
Tapez dfsrmig /setglobalstate 2.
9.
Tapez dfsrmig /getmigrationstate pour connaître la progression des contrôleurs de domaine vis-à-vis de l'état global Redirigé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état. Cette opération peut prendre 15 minutes à une heure, voire davantage.
10. Tapez dfsrmig /setglobalstate 3. Une fois que vous avez commencé la migration de l'état 2 (préparé) vers l'état 3 (répliqué), toutes les modifications apportées au dossier SYSVOL devront être répliquées manuellement dans le dossier SYSVOL_DFSR. 11. Tapez dfsrmig /getmigrationstate pour connaître la progression des contrôleurs de domaine vis-à-vis de l'état global Éliminé. Répétez cette étape jusqu'à ce que tous les contrôleurs de domaine aient atteint cet état. Cette opération peut prendre 15 minutes à une heure, voire davantage. 12. Pour plus d'informations sur la commande dfsrmig.exe, tapez dfsrmig.exe /?.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-86
11-87
Atelier pratique D : Configuration de la réplication DFSR du dossier SYSVOL
Scénario Vous êtes administrateur chez Contoso. Vous avez récemment procédé à la mise à niveau du dernier contrôleur de domaine Windows Server 2003 vers Windows Server 2008 et vous souhaitez à présent profiter de la réplication améliorée du dossier SYSVOL grâce à la réplication DFSR.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 1 : Observation de la réplication du dossier SYSVOL Dans cet exercice, vous allez observer la réplication du dossier SYSVOL par le service de réplication de fichiers (FRS) en ajoutant un script de connexion au partage NETLOGON et en observant sa réplication vers un autre contrôleur de domaine. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Observer la réplication du dossier SYSVOL.
Tâche 1 : Préparation de l'atelier pratique •
Arrêtez tous les ordinateurs virtuels.
•
Démarrez 6238B-HQDC01-B et ouvrez une session avec le compte Pat.Coleman et le mot de passe Pa$$w0rd.
•
Ouvrez D:\Labfiles\Lab11d.
•
Exécutez Lab11d_Setup.bat avec des droits administratifs. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Le script d'installation de l'atelier pratique s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.
•
Fermez la fenêtre de l'Explorateur Windows, Lab11d.
•
Démarrez 6238B-HQDC02-B et ouvrez une session avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tâche 2 : Observation de la réplication du dossier SYSVOL •
Dans HQDC01, ouvrez %SystemRoot%\ Sysvol\sysvol\contoso.com\Scripts.
•
Exécutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Enregistrez un fichier test sous le nom %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts\TestFRS.txt.
•
Dans HQDC02, ouvrez %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts \Scripts.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-88
•
11-89
Vérifiez que le fichier TestFRS.txt a bien été répliqué dans le dossier Scripts de l'ordinateur HQDC02. Si le fichier n'apparaît pas immédiatement, patientez quelques instants. La réplication peut prendre jusqu'à 15 minutes. Vous pouvez éventuellement passer à l'Exercice 2. Avant de passer à l'Exercice 3, vérifiez toutefois que le fichier a bien été répliqué.
•
Après avoir observé la réplication, fermez la fenêtre de l'Explorateur Windows contenant le dossier Scripts des ordinateurs HQDC01 et HQDC02. Résultats : Au terme de cet exercice, vous aurez observé la réplication d'un fichier test entre les dossiers SYSVOL\Scripts de deux contrôleurs de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 2 : Préparation de la migration vers la réplication DFSR Pour que la migration vers la réplication DFSR du dossier SYSVOL soit possible, le domaine ne doit contenir que des contrôleurs de domaine Windows Server 2008 et son niveau fonctionnel doit être élevé jusqu'à Windows Server 2008. Dans cet exercice, vous allez vérifié que les autres niveaux fonctionnels du domaine ne prennent pas en charge la migration DFSR. Vous élèverez ensuite le domaine au niveau fonctionnel Windows Server 2008. Les tâches principales de cet exercice sont les suivantes : 1.
Confirmer le niveau fonctionnel actuel inférieur à Windows Server 2008 pour le domaine.
2.
Confirmer l'indisponibilité de la réplication DFSR pour les niveaux fonctionnels de domaine inférieurs à Windows Server 2008.
3.
Augmenter le niveau fonctionnel du domaine.
4.
Confirmer la disponibilité de la réplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine.
Tâche 1 : Confirmation du niveau fonctionnel actuel inférieur à Windows Server 2008 pour le domaine •
Dans HQDC01, exécutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Vérifiez que le niveau fonctionnel actuel du domaine est bien Windows Server 2003, mais ne l'élevez pas. À la place, cliquez sur Annuler dans la boîte de dialogue.
Tâche 2 : Confirmation de l'indisponibilité de la réplication DFSR pour les niveaux fonctionnels de domaine inférieurs à Windows Server 2008 •
Exécutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Tapez dfsrmig /getglobalstate et appuyez sur ENTRÉE. Le message qui s'affiche vous signale que la commande dfsrmig n'est prise en charge que par les domaines de niveau fonctionnel Windows Server 2008.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-90
11-91
Tâche 3 : Augmentation du niveau fonctionnel du domaine •
Dans Utilisateurs et ordinateurs Active Directory, élevez le domaine vers le niveau fonctionnel Windows Server 2008.
•
Fermez Utilisateurs et ordinateurs Active Directory.
Tâche 4 : Confirmation de la disponibilité de la réplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine •
Revenez à l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyez sur ENTRÉE. Le message qui s'affiche vous signale que la migration DFSR n'a pas encore été déclenchée. Résultats : Au terme de cet exercice, vous aurez élevé le niveau fonctionnel du domaine à Windows Server 2008 et confirmé que, ce faisant, vous avez rendu possible la migration du dossier SYSVOL vers la réplication DFSR.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 3 : Migration de la réplication du dossier SYSVOL vers DFSR Dans cet exercice, vous allez faire migrer le mécanisme de réplication de FRS vers DFSR. La tâche principale de cet exercice est la suivante : 1.
Migrer de la réplication du dossier SYSVOL vers DFSR.
Tâche 1 : Migration de la réplication du dossier SYSVOL vers DFSR 1.
Revenez à l'invite de commande.
2.
Tapez dfsrmig /setglobalstate 0 et appuyez sur ENTRÉE. Le message suivant s'affiche : Current DFSR global state: 'Start' New DFSR global state: 'Start' Invalid state change requested.
L'état global par défaut étant déjà 0, ‘Start', votre commande n'est donc pas valide. Toutefois, cela permet de déclencher la migration DFSR. 3.
Tapez dfsrmig /getglobalstate et appuyez sur ENTRÉE. Le message suivant s'affiche : Current DFSR global state: 'Start' Succeeded.
4.
Tapez dfsrmig /getmigrationstate et appuyez sur ENTRÉE. Le message suivant s'affiche : All Domain Controllers have migrated successfully to Global state ('Start'). Migration has reached a consistent state on all Domain Controllers. Succeeded.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-92
5.
11-93
Tapez dfsrmig /setglobalstate 1 et appuyez sur ENTRÉE. Le message suivant s'affiche : Current DFSR global state: 'Start' New DFSR global state: 'Prepared' Migration will proceed to 'Prepared' state. DFSR service will copy the contents of SYSVOL to SYSVOL_DFSR folder. If any DC is unable to start migration then try manual polling. OR Run with option /CreateGlobalObjects. Migration can start anytime between 15 min to 1 hour. Succeeded.
6.
Tapez dfsrmig /getmigrationstate et appuyez sur ENTRÉE. Le message qui s'affiche reflète l'état de migration actuel de chaque contrôleur de domaine. La migration peut durer jusqu'à 15 minutes.
7.
Répétez cette étape jusqu'à ce que le message suivant vous signale que la migration a atteint l'état 'Préparé' et a réussi : All Domain Controllers have migrated successfully to Global state ('Prepared'). Migration has reached a consistent state on all Domain Controllers. Succeeded.
Lorsque vous recevez le message ci-dessus, passez à l'étape suivante. Pendant la migration vers l'état 'Préparé', l'un des messages suivants peut s'afficher : The following Domain Controllers are not in sync with Global state ('Prepared'):
Domain Controller (Local Migration State) - DC Type =================================================== HQDC01 ('Start') - Primary DC HQDC02 ('Start') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
ou The following Domain Controllers are not in sync with Global state ('Prepared'):
Domain Controller (Local Migration State) - DC Type =================================================== HQDC01 ('Start') - Primary DC HQDC02 ('Waiting For Initial Sync') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.
ou The following Domain Controllers are not in sync with Global state ('Prepared'):
Domain Controller (Local Migration State) - DC Type =================================================== HQDC02 ('Waiting For Initial Sync') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.
8.
Cliquez sur Démarrer, pointez sur Outils d'administration, cliquez du bouton droit sur Observateur d'événements, et choisissez Exécuter en tant qu'administrateur.
9.
Cliquez sur Utiliser un autre compte.
10. Dans la zone Nom d'utilisateur, tapez Pat.Coleman_Admin. 11. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entrée. L'Observateur d'événements apparaît. 12. Dans l'arborescence de la console, développez Journaux des applications et des services et sélectionnez Réplication DFSR.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-94
13. Localisez l'événement associé à l'ID 8014 et ouvrez ses propriétés. Vous devriez obtenir les informations illustrées dans la capture d'écran suivante.
14. Fermez l'Observateur d'événements. 15. Revenez à l'invite de commandes.
11-95
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
16. Tapez dfsrmig /setglobalstate 2 et appuyez sur ENTRÉE. Le message suivant s'affiche : Current DFSR global state: 'Prepared' New DFSR global state: 'Redirected' Migration will proceed to 'Redirected' state. The SYSVOL share will be changed to SYSVOL_DFSR folder. If any changes have been made to the SYSVOL share during the state transition from 'Prepared' to 'Redirected', please robocopy the changes from SYSVOL to SYSVOL_DFSR on any replicated RWDC. Succeeded.
17. Tapez dfsrmig /getmigrationstate et appuyez sur ENTRÉE. Le message qui s'affiche reflète l'état de migration actuel de chaque contrôleur de domaine. La migration peut durer jusqu'à 15 minutes. 18. Répétez l'étape 17 jusqu'à ce que le message suivant vous signale que la migration a atteint l'état 'Préparé' et a réussi : All Domain Controllers have migrated successfully to Global state ('Redirected'). Migration has reached a consistent state on all Domain Controllers. Succeeded.
Lorsque vous recevez le message ci-dessus, passez à la tâche suivante. Pendant la migration, les messages suivants peuvent s'afficher : The following Domain Controllers are not in sync with Global state ('Redirected'): Domain Controller (Local Migration State) - DC Type =================================================== HQDC02 ('Prepared') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-96
11-97
Résultats : Au terme de cet exercice, vous aurez fait migrer la réplication du dossier SYSVOL vers DFSR dans le domaine contoso.com.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 4 : Vérification de la réplication DFSR du dossier SYSVOL Dans cet exercice, vous allez vérifier que le dossier SYSVOL a bien été répliqué par le service DFSR. Les tâches principales de cet exercice sont les suivantes : 1.
Confirmer le nouvel emplacement du dossier SYSVOL.
2.
Observer la réplication du dossier SYSVOL.
Tâche 1 : Confirmation du nouvel emplacement du dossier SYSVOL •
À l'invite de commande, tapez net share et appuyez sur ENTRÉE. Vérifiez que le partage NETLOGON fait référence au dossier %SystemRoot% \SYSVOL_DFSR\Sysvol\contoso.com\Scripts et que le partage SYSVOL fait référence au dossier %SystemRoot%\SYSVOL_DFSR\Sysvol.
Tâche 2 : Observation de la réplication du dossier SYSVOL •
Dans HQDC01, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol \contoso.com\Scripts. Remarquez que le fichier TestFRS.txt créé précédemment apparaît déjà dans le dossier Scripts. Lorsque les contrôleurs de domaine étaient en état Préparé, les fichiers ont été répliqués entre le dossier FRS SYSVOL hérité et le nouveau dossier DFS-R SYSVOL.
•
Exécutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Enregistrez un fichier test sous le nom %SystemRoot%\SYSVOL_DFSR \Sysvol\contoso.com\Scripts \TestDFSR.txt.
•
Dans HQDC02, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol \contoso.com\Scripts.
•
Vérifiez que le fichier TestDFSR.txt a bien été répliqué dans le dossier Scripts de l'ordinateur HQDC02. Si le fichier n'apparaît pas immédiatement, patientez quelques instants. Résultats : Au terme de cet exercice, vous aurez observé la réplication d'un fichier test entre les dossiers SYSVOL_DFSR Scripts de deux contrôleurs de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-98
11-99
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
Questions de contrôle des acquis Question : Quelles différences vous attendriez-vous à voir entre deux entreprises dont l'une a initialement créé son domaine avec des contrôleurs de domaine Windows 2008 et l'autre a effectué une migration vers Windows Server 2008 depuis Windows Server 2003 ? Question : Que devez-vous savoir lors de la migration de l'état Préparé vers l'état Redirigé ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Administration des contrôleurs de domaine des Services de domaine Active Directory® (AD DS)
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-1
Module 12 Gestion des sites et de la réplication Active Directory Table des matières : Leçon 1 : Configuration des sites et des sous-réseaux
12-4
Atelier pratique A : Configuration des sites et des sous-réseaux
12-23
Leçon 2 : Configuration des partitions d'application et du catalogue global
12-27
Atelier pratique B : Configuration des partitions d'application et du catalogue global
12-42
Leçon 3 : Configuration de la réplication
12-48
Atelier pratique C : Configuration de la réplication
12-75
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Vue d'ensemble du module
Dans les modules précédents, vous avez appris que les contrôleurs d'un domaine Windows Server® 2008 étaient des homologues. Chaque contrôleur gère une copie de l'annuaire, exécute des services similaires pour prendre en charge l'authentification des entités de sécurité, et les modifications apportées à l'un d'entre eux sont répliquées dans tous les autres contrôleurs de domaine. En tant qu'administrateur d'une entreprise Windows®, l'une de vos tâches consiste à vous assurer que l'authentification est aussi efficace que possible et que la réplication entre les contrôleurs de domaine est optimale. Les sites Active Directory® sont le composant central du service d'annuaire prenant en charge les objectifs de la localisation et de la réplication des services. Dans ce module, vous allez apprendre à créer un service d'annuaire distribué capable de prendre en charge les contrôleurs de domaine situés dans des parties de votre réseau reliées par des connexions onéreuses, lentes ou non fiables. Vous y apprendrez à répartir les contrôleurs de domaine de manière stratégique et à gérer la réplication et l'utilisation des services. Vous apprendrez également à contrôler quelles données sont répliquées dans chaque contrôleur de domaine en configurant des partitions d'application et des catalogues globaux.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-2
12-3
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
configurer des sites et des sous-réseaux ;
•
comprendre l'emplacement des contrôleurs de domaine et gérer les contrôleurs de domaine dans les sites ;
•
configurer la réplication du jeu d'attributs partiels vers les serveurs de catalogues globaux ;
•
implémenter la mise en cache de l'appartenance au groupe universel ;
•
comprendre la fonction des partitions de l'annuaire d'applications ;
•
configurer la topologie de réplication avec des objets de connexion, des serveurs tête de pont, des liens de sites et des ponts de liens de sites ;
•
générer des rapports, analyser et résoudre les problèmes de réplication avec les outils repadmin.exe et dcdiag.exe ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Leçon 1
Configuration des sites et des sous-réseaux
Active Directory représente les personnes sous forme d'objets utilisateur dans le service d'annuaire. Il représente les ordinateurs par des objets ordinateur. Il représente la topologie du réseau par des objets appelés sites et sous-réseaux. Les objets site Active Directory sont utilisés pour gérer la réplication et la localisation des services et, par chance, la configuration des sites et des sous-réseaux est assez simple dans la plupart des environnements. Dans cette leçon, vous allez étudier les techniques et les concepts de base requis pour configurer et gérer des sites et des sous-réseaux.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
identifier le rôle des sites et des sous-réseaux ;
•
décrire le processus utilisé par les clients pour localiser un contrôleur de domaine ;
•
configurer des sites et des sous-réseaux ;
•
gérer les objets serveur de contrôleur de domaine dans les sites.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-4
12-5
Fonctionnement des sites
Points clés Lorsque les administrateurs décrivent leur infrastructure réseau, ils mentionnent souvent le nombre de sites que comprend leur entreprise. Pour la plupart d'entre eux, un site est un emplacement physique, par exemple un bureau ou une ville. Les sites sont connectés par des liaisons réseau qui peuvent être aussi simples que des connexions d'accès à distance ou aussi sophistiquées que des liaisons par fibre optique. Réunis, les emplacements physiques et leurs liaisons composent l'infrastructure du réseau. Active Directory représente l'infrastructure réseau par des objets appelés sites et liens de site et, bien que les termes soient similaires, ces objets ne correspondent pas aux sites et aux liens décrits par les administrateurs. Cette leçon étudie les sites et la Leçon 3 les liens de sites.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Il est important de bien comprendre les propriétés et les rôles des sites dans Active Directory afin de saisir la subtile différence entre les sites Active Directory et les sites réseau. Les sites Active Directory sont des objets de l'annuaire, en particulier le conteneur Configuration (CN=Configuration,DC=domaine racine de la forêt). Ces objets permettent de mener à bien deux tâches de gestion de service : •
Gérer le trafic de réplication
•
Simplifier la localisation des services
Trafic de réplication La réplication est le transfert des modifications entre les contrôleurs de domaine. Lorsque vous ajoutez un utilisateur ou lorsque vous modifiez le mot de passe d'un utilisateur par exemple, la modification est validée dans l'annuaire par un seul contrôleur de domaine. Elle doit ensuite être communiquée à tous les autres contrôleurs du domaine. Active Directory part de l'hypothèse que votre entreprise comprend deux types de réseau : l'un avec un haut degré de connectivité et l'autre avec un degré de connectivité moindre. De manière conceptuelle, une modification apportée à Active Directory doit être immédiatement répliquée dans les autres contrôleurs de domaine du réseau à connectivité élevée dans lequel la modification a été effectuée. Vous préférerez toutefois que la modification ne soit pas immédiatement répliquée par l'intermédiaire de connexions plus lentes, plus onéreuses ou moins fiables. Vous favoriserez plutôt la gestion de la réplication par les segments à connectivité moindre afin d'optimiser les performances, de réduire les coûts ou de gérer la bande passante. Un site Active Directory représente une portion à connectivité élevée de votre entreprise. Lorsque vous définissez un site, ses contrôleurs de domaine répliquent les modifications presque instantanément. La réplication entre sites peut être planifiée et gérée. Localisation des services Active Directory est un service distribué. Cela signifie, en supposant que vous avez au moins deux contrôleurs de domaine, que plusieurs serveurs (contrôleurs de domaine) fournissent les mêmes services d'authentification et d'accès à l'annuaire. Si vous avez plusieurs sites réseau et que vous placez un contrôleur de domaine dans chacun d'eux, vous préférerez encourager les clients à s'authentifier auprès du contrôleur de domaine de leur site. Vous avez là un exemple de localisation de services.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-6
12-7
Les sites Active Directory vous aident à localiser les services, notamment ceux fournis par les contrôleurs de domaine. À l'ouverture d'une session, les clients Windows sont automatiquement orientés vers un contrôleur de domaine de leur site. Lorsque ce site ne comprend aucun contrôleur de domaine, ils sont dirigés vers le contrôleur d'un autre site, capable de les authentifier efficacement. D'autres services peuvent également être localisés. Espaces de noms du système de fichiers distribué (espaces de noms DFS), par exemple, est un service localisé. Les clients DFS obtiendront les ressources répliquées du serveur le plus efficace, selon leur site Active Directory. De fait, comme les clients savent dans quel site ils se trouvent, tout service distribué peut être écrit de manière à tirer parti de la structure de sites Active Directory pour localiser intelligemment l'utilisation des services.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Planification des sites
Points clés Les sites étant utilisés pour optimiser la réplication et permettre la localisation des services, vous devez soigneusement concevoir votre structure de sites Active Directory. Les sites Active Directory peuvent ne pas correspondre exactement à ceux de votre réseau. Imaginons deux scénarios : •
Vos bureaux sont situés dans deux emplacements distincts. Vous placez un contrôleur de domaine dans chaque emplacement. Ces emplacements présentent un haut degré de connectivité et, pour améliorer les performances, vous décidez de configurer un seul site Active Directory comprenant les deux emplacements.
•
Votre entreprise est située sur un vaste campus à haut degré de connectivité. Du point de vue de la réplication, l'entreprise peut être considérée comme un seul site. Toutefois, pour encourager les clients à utiliser les services distribués de leur emplacement, vous configurez plusieurs sites pour assurer la localisation des services.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-8
12-9
Un site Active Directory peut donc inclure plusieurs sites réseau ou être un sousensemble d'un seul site réseau. L'essentiel est de se rappeler que les sites servent à la fois pour la gestion de la réplication et pour la localisation des services. Pour déterminer le nombre de sites dont vous avez besoin, utilisez plusieurs caractéristiques de votre entreprise : Vitesse de connexion Tout site Active Directory représente une unité du réseau caractérisée par une connexion rapide, fiable et peu onéreuse. Beaucoup de documentations suggèrent que le plus bas débit d'un site ne doit pas être inférieur à 512 Kbits/s. Toutefois, ce débit conseillé peut varier. Certaines organisations ont des liaisons beaucoup plus lentes (56 ou même 28 Kbits/s) dans un site. Placement des services Les sites Active Directory gérant la réplication Active Directory et la localisation des services, il n'est pas pratique de créer un site pour un emplacement réseau qui n'héberge aucun contrôleur de domaine ou autre service prenant en charge Active Directory, tel qu'une ressource DFS répliquée. Remarque : concernant les sites sans contrôleur de domaine : les contrôleurs de domaine étant uniquement un service distribué dans une entreprise Windows, d'autres services, tels que les ressources DFS répliquées, connaissent également l'existence des sites. Vous pouvez configurer des sites pour localiser des services autres que l'authentification. Dans ce cas, vous aurez des sites sans contrôleur de domaine.
Population d'utilisateurs Les concentrations d'utilisateurs peuvent également influencer la conception de vos sites, mais indirectement. Si un emplacement du réseau héberge un grand nombre d'utilisateurs pour qui l'impossibilité de s'authentifier poserait des problèmes, placez-y un contrôleur de domaine pour prendre en charge l'authentification à cet endroit. Dès qu'un contrôleur de domaine ou un autre service distribué est placé à cet endroit pour prendre ces utilisateurs en charge, vous souhaiterez y gérer la réplication Active Directory ou localiser les services en configurant un site Active Directory qui représente cet emplacement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Synthèse des critères de planification des sites Chaque forêt Active Directory comprend au moins un site. Le site par défaut, créé lorsque vous instanciez une forêt avec le premier contrôleur de domaine, est appelé Default-First-Site-Name. Vous devez créer des sites supplémentaires dans les cas suivants : •
Une partie du réseau est isolée par une liaison lente.
•
Une partie du réseau a suffisamment d'utilisateurs pour justifier l'hébergement de contrôleurs de domaine ou d'autres services à cet emplacement.
•
Le trafic des requêtes envoyées à l'annuaire justifie la présence d'un contrôleur de domaine local.
•
Vous souhaitez contrôler la localisation des services.
•
Vous souhaitez contrôler la réplication entre les contrôleurs de domaine.
Remarque sur le placement des serveurs DC Les administrateurs réseau souhaitent souvent savoir quand il est recommandé de placer un contrôleur de domaine (DC) dans un site distant. La réponse est : « cela dépend ». Pour être plus précis, cela dépend des ressources dont les utilisateurs ont besoin dans le site et du niveau de tolérance des interruptions de service. Imaginons par exemple que les utilisateurs d'un site distant exécutent toutes leurs tâches en accédant aux ressources du centre de données. Si la liaison avec ce site distant est rompue, les utilisateurs ne peuvent plus accéder aux ressources dont ils ont besoin, et un contrôleur de domaine local n'améliorerait pas la situation. Toutefois, si les utilisateurs accèdent aux ressources du site distant et que la liaison est rompue, un contrôleur de domaine local peut continuer à leur fournir l'authentification et ils peuvent poursuivre leur travail avec leurs ressources locales. Dans la plupart des scénarios de succursales, ces bureaux hébergent des ressources dont les utilisateurs ont besoin pour effectuer leur travail quotidien. Si ces ressources ne sont pas stockées directement dans l'ordinateur de l'utilisateur, celui-ci doit être authentifié. C'est la raison pour laquelle un contrôleur de domaine est généralement recommandé. L'introduction des Contrôleurs de domaine en lecture seule (RODC) sous Windows Server 2008 réduit les risques et la charge de gestion dans les succursales. Il est ainsi plus facile pour la plupart des organisations de déployer des DC dans chaque emplacement du réseau.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-10
12-11
Création des sites
Points clés Les sites et la réplication sont gérés à l'aide du composant logiciel enfichable Sites et services Active Directory. Pour définir un site Active Directory, vous allez créer un objet de site de classe. L'objet site est un conteneur qui gère la réplication des contrôleurs de domaine du site. Vous allez également créer un ou plusieurs objets sous-réseau. Un objet sous-réseau définit une plage d'adresses IP et est relié à un site. La localisation des services est obtenue lorsque l'adresse IP d'un client peut être associée à un site via la relation entre l'objet sous-réseau et l'objet site.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Pour créer un site : 1.
Cliquez avec le bouton droit sur le nœud Sites dans Sites et services Active Directory, puis cliquez sur Nouveau site.
2.
Dans la boîte de dialogue Nouvel objet – Site qui s'ouvre, entrez le nom du site et sélectionnez un lien de site.
Le lien de site par défaut, DEFAULTIPSITELINK, sera le seul lien de site disponible jusqu'à ce que vous en créiez d'autres (voir la Leçon 3). Après la création d'un site, vous pouvez cliquer sur son entrée et choisir Renommer pour changer son nom. Il est recommandé de renommer le site DefaultFirst-Site-Name afin d'obtenir un nom qui convienne à la topologie de votre réseau et de votre entreprise. Les sites ne sont utiles que lorsqu'un client ou un serveur sait à quel site il appartient. Pour obtenir cette information, vous associez généralement l'adresse IP d'un système avec un site, et les objets sous-réseau récupèrent cette association.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-12
12-13
Pour créer un objet sous-réseau : 1.
Cliquez avec le bouton droit sur le nœud Sous-réseaux dans Sites et services Active Directory, puis cliquez sur Nouveau sous-réseau. La boîte de dialogue Nouvel objet – Sous-réseau s'affiche.
2.
Entrez le préfixe du réseau et la longueur du masque de sous-réseau.
L'objet sous-réseau est défini sous forme de plage d'adresses à l'aide de la notation des préfixes du réseau. Par exemple, pour un sous-réseau représentant les adresses 10.1.1.1 à 10.1.1.254 avec un masque de sous-réseau de 24 bits, le préfixe serait 10.1.1.0/24. Pour plus d'informations sur la saisie des adresses, cliquez sur le lien En savoir plus sur la saisie des préfixes d'adresse dans la boîte de dialogue Nouvel objet – Sous-réseau. 3.
Après la saisie du préfixe du réseau, sélectionnez l'objet site avec lequel le sousréseau est associé. Un sous-réseau ne peut être associé qu'à un seul site. Toutefois, un site peut avoir plusieurs sous-réseaux reliés à lui. La boîte de dialogue Propriétés d'un site, illustrée par la capture d'écran suivante, présente les sous-réseaux associés au site. Toutefois, vous ne pouvez pas modifier les sous-réseaux dans cette boîte de dialogue. Pour changer le site auquel un sous-réseau est relié, vous devez ouvrir les propriétés du sous-réseau, illustrées par la capture d'écran suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Remarque : définissez chaque sous-réseau IP. Dans votre environnement de production, assurez-vous de définir chaque sous-réseau IP en tant qu'objet sous-réseau dans Active Directory. Si l'adresse IP d'un client n'est pas incluse dans une plage de sousréseaux, ce client est incapable de savoir à quel site Active Directory il appartient. Ceci risque d'entraîner des problèmes de performance et de fonctionnement. N'oubliez pas les sous-réseaux du segment principal et ceux utilisés pour l'accès distant, tel que les plages d'adresses d'un réseau privé virtuel (VPN).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-14
12-15
Gestion des contrôleurs de domaine des sites
Points clés Parfois, vous devez gérer les contrôleurs de domaine des sites Active Directory : •
Vous créez un nouveau site et vous y placez un contrôleur de domaine existant.
•
Vous rétrogradez un contrôleur de domaine.
•
Vous affectez un nouveau contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Lorsque vous créez votre forêt Active Directory, le premier contrôleur de domaine est automatiquement placé sous l'objet site nommé Default-First-Site-Name. Vous pouvez voir le contrôleur de domaine SERVER01.contoso.com dans la capture d'écran suivante.
D'autres contrôleurs de domaine seront ajoutés aux sites en fonction de leurs adresses IP. Par exemple, si un serveur dont l'adresse IP est 10.1.1.17 est promu contrôleur de domaine, il sera automatiquement ajouté au site BRANCHA car le sous-réseau 10.1.1.0/24 a été associé au site BRANCHA (voir la diapositive précédente). La capture d'écran précédente présente SERVER02 dans le site BRANCHA. Chaque site contient un conteneur Servers, qui contient lui-même un objet pour chaque contrôleur de domaine du site. Le conteneur Servers d'un site doit présenter uniquement les contrôleurs de domaine, pas tous les serveurs. Lorsque vous affectez un nouveau contrôleur de domaine, il sera placé par défaut dans le site associé à son adresse IP. Toutefois, l'Assistant Installation des services de domaine Active Directory vous permettra de spécifier un autre site. Vous pouvez également pré-créer l'objet serveur du contrôleur de domaine dans le site correct en cliquant avec le bouton droit sur le conteneur Servers du site concerné et en choisissant Serveur dans le menu Nouveau.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-16
12-17
Pour finir, vous pouvez déplacer le contrôleur de domaine dans le site approprié après l'installation en cliquant avec le bouton droit sur le serveur et en choisissant Déplacer. Dans la boîte de dialogue Déplacer le serveur, sélectionnez le nouveau site et cliquez sur OK. Le contrôleur de domaine est déplacé. Il est recommandé de placer un contrôleur de domaine dans l'objet site qui est associé à l'adresse IP du contrôleur de domaine. Si un DC est multirésident, il ne peut appartenir qu'à un seul site. Si un site n'a aucun contrôleur de domaine, les utilisateurs pourront toujours se connecter au domaine. Leurs demandes d'ouverture de session seront gérées par un contrôleur de domaine d'un site adjacent ou par un autre contrôleur du domaine. Pour supprimer un objet contrôleur de domaine, cliquez avec le bouton droit sur son entrée et choisissez Supprimer.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Emplacement des contrôleurs de domaine : enregistrements SRV
Points clés Au début de cette leçon, vous avez examiné les services de domaine Active Directory (AD DS) en tant que service distribué, fournissant l'authentification et l'accès à l'annuaire sur plusieurs contrôleurs de domaine. Vous avez appris à identifier, dans la topologie de votre réseau, l'emplacement où vous devez définir les sites et placer les contrôleurs de domaine. Maintenant, vous êtes prêt à examiner comment fonctionne précisément la localisation des service : comment les clients Active Directory sont informés de la présence des sites et comment ils localisent le contrôleur de domaine de leur site. Bien que ce niveau de détails soit peu susceptible de faire l'objet d'une question dans l'examen de certification, il vous sera très utile lorsque vous devrez résoudre les problèmes d'authentification d'un ordinateur ou d'un utilisateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-18
12-19
Enregistrements du localisateur de service Lorsqu'un contrôleur de domaine est ajouté au domaine, il publie ses services en créant des enregistrements SRV (Service Locator), également appelés enregistrements du localisateur dans le système DNS. À la différence des enregistrements hôte (enregistrements A), qui établissent la correspondance entre les noms d'hôte et les adresses IP, les enregistrements SRV mappent les services avec les noms d'hôte. Le contrôleur de domaine publie sa capacité à fournir l'authentification et l'accès à l'annuaire en inscrivant des enregistrements Kerberos et LDAP SRV. Ces enregistrements SRV sont ajoutés à plusieurs dossiers dans les zones DNS de la forêt. Le premier dossier se trouve au sein de la zone du domaine. Il est appelé _tcp et contient les enregistrements SRV de tous les contrôleurs du domaine. Le second dossier est spécifique au site qui contient le contrôleur de domaine, avec le chemin _sites\nomdusite\_tcp, où nomdusite correspond au nom du site.
Dans la capture d'écran précédente, vous pouvez voir les enregistrements Kerberos et LDAP SRV de SERVER02.contoso.com dans son site, _sites\BRANCHA\_tcp. Vous voyez également le dossier _tcp au premier niveau sous la zone. Les mêmes enregistrements sont inscrits à plusieurs endroits de la zone _msdcs.nomDomaine, par exemple _msdcs.contoso.com dans la capture d'écran précédente. Cette zone contient les enregistrements des Services de contrôleur de domaine Microsoft. Les caractères de soulignement sont imposés par la norme RFC 2052.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Les enregistrements SRV contiennent les éléments suivants : •
Le nom du service et le numéro du port : cette partie de l'enregistrement SRV désigne un service sur un port fixe. Le port n'est pas nécessairement un port très courant. Sous Windows Server 2008, les enregistrements SRV incluent LDAP (port 389), Kerberos (port 88), le protocole de mots de passe Kerberos (KPASSWD, port 464) et les services CG (port 3268).
•
Protocole : TCP ou UDP sera indiqué en tant que protocole de transport pour le service. Le même service peut utiliser les deux protocoles, dans des enregistrements SRV distincts. Les enregistrements Kerberos, par exemple, sont inscrits à la fois pour TCP et pour UDP. Les clients Microsoft utilisent uniquement le protocole TCP, mais les clients UNIX peuvent utiliser le protocole TCP.
•
Nom d'hôte : ce nom correspond à l'enregistrement A (Hôte) du serveur qui héberge le service. Lorsqu'un client demande un service, le serveur DNS renvoie l'enregistrement SRV et les enregistrements A associés. Ainsi, le client n'a pas besoin d'envoyer une autre requête pour résoudre l'adresse IP d'un service.
Dans les enregistrements SRV, le nom du service respecte la hiérarchie DNS standardisée : les composants sont séparés par des points. Par exemple, le service Kerberos d'un contrôleur de domaine est inscrit au format suivant : kerberos._tcp.nomSite._sites.nomDomaine En lisant cet enregistrement SRV de droite à gauche, comme les autres enregistrements DNS, cela donne : •
nomDomaine : le domaine ou la zone, par exemple contoso.com
•
_sites : tous les sites inscrits avec DNS
•
nomSite : site du contrôleur de domaine qui a inscrit le service
•
_tcp : tout service TCP du site
•
kerberos : centre de distribution de clés Kerberos (KDC) utilisant TCP comme protocole de transport
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-20
12-21
Emplacement des contrôleurs de domaine : Client
Points clés Imaginons qu'un client Windows vienne d'être joint au domaine. Il redémarre, reçoit une adresse IP d'un serveur DHCP et est prêt à s'authentifier auprès du domaine. Comment le client sait-il où trouver un contrôleur de domaine ? Il n'en sait rien. Donc, il demande le domaine d'un contrôleur de domaine par la requête du dossier _tcp qui, vous vous en souvenez, contient les enregistrements SRV de tous les contrôleurs du domaine. Le système DNS renvoie la liste de tous les contrôleurs de domaine correspondants, et le client tente alors de tous les contacter. Le premier contrôleur de domaine qui répond au client examine l'adresse IP de celui-ci, il croise les références entre cette adresse et les objets sousréseau, puis il signale au client à quel site celui-ci appartient. Le client stocke le nom du site dans son Registre, puis demande les contrôleurs de domaine du dossier _tcp propre à ce site. Le système DNS renvoie la liste de tous les contrôleurs de domaine de ce site. Le client tente alors de tous les contacter, et le premier contrôleur de domaine qui répond authentifie le client.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Le client établit une relation d'affinité avec ce contrôleur de domaine et tentera toujours de s'authentifier auprès de celui-ci dans le futur. Si ce contrôleur de domaine est indisponible, le client redemande le dossier _tcp du site et tente de contacter tous ses contrôleurs de domaine. Cependant, que se passe-t-il si le client utilise un ordinateur portable ? Imaginons que l'ordinateur a été authentifié dans le site BRANCHA et que l'utilisateur amène cet ordinateur dans le site BRANCHB. Lorsque l'ordinateur démarre, il tente de s'authentifier auprès de son contrôleur de domaine préféré dans le site BRANCHA. Ce contrôleur de domaine s'aperçoit que l'adresse IP du client est associée au site BRANCHB et lui signale son nouveau site. Le client interroge alors le système DNS pour obtenir les contrôleurs de domaine du site BRANCHB. Vous voyez ainsi comment un client est encouragé à utiliser les services de son site : en stockant les informations sur les sites et les sous-réseaux dans Active Directory et en inscrivant les services dans le système DNS. Le choix des services résidant dans le site des clients est la définition même de localisation de services. Lectures complémentaires •
Pour plus d'informations sur l'emplacement des contrôleurs de domaine, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168550.
Couverture des sites Que se passe-t-il si un site n'a aucun contrôleur de domaine ? Les sites peuvent servir à diriger les utilisateurs vers des copies locales des ressources répliquées, telles que les dossiers partagés et répliqués dans un espace de noms DFS. Il est donc possible que certains sites n'aient pas de contrôleur de domaine. Dans ce cas, un contrôleur de domaine proche inscrira ses enregistrements SRV dans le site au cours d'un processus appelé couverture de sites. Pour être plus précis, tout site sans contrôleur de domaine sera généralement couvert par un contrôleur de domaine d'un site présentant le moindre coût pour cette couverture. Vous en découvrirez plus sur les coûts de liaison des sites à la Leçon 3. Vous pouvez également configurer manuellement la couverture des sites et les priorités des enregistrements SRV si vous souhaitez implémenter un contrôle strict de l'authentification auprès de sites sans contrôleur de domaine. L'URL mentionnée contient des détails sur l'algorithme qui détermine quel contrôleur de domaine couvre automatiquement un site qui en est dépourvu.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-22
12-23
Atelier pratique A : Configuration des sites et des sous-réseaux
Scénario Vous êtes administrateur chez Contoso, Ltd. Vous vous préparez à améliorer la localisation des services et la réplication Active Directory dans votre entreprise. L'administrateur précédent n'a pas modifié la configuration par défaut des sites et des sous-réseaux. Vous souhaitez commencer par définir votre topologie physique dans Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 1 : Configuration du site par défaut Dans cet exercice, vous allez renommer le site Default-First-Site-Name et lui associer deux sous-réseaux. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Modifier le nom Default-First-Site-Name.
3.
Créer un sous-réseau avec association à un site.
Tâche 1 : Préparation de l'atelier pratique •
Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateur virtuel peut prendre plusieurs minutes.
•
Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans y ouvrir de session.
•
Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir de session.
•
Après le démarrage de HQDC03, démarrez 6238B-BRANCHDC01-B sans y ouvrir de session.
•
Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâche suivante.
Tâche 2 : Changement du nom Default-First-Site-Name •
Exécutez Sites et services Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Remplacez le nom Default-First-Site-Name par HEADQUARTERS.
Tâche 3 : Création d'un sous-réseau avec association à un site •
Créez deux sous-réseaux : 10.0.0.0/24 et 10.0.1.0/24, et associez chacun d'eux au site HEADQUARTERS. Résultats : Au terme de cet exercice, vous devriez avoir un site nommé HEADQUARTERS et deux sous-réseaux (10.0.0.0/24 et 10.0.1.0/24) associés à ce site.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-24
12-25
Exercice 2 : Création de sites supplémentaires Dans cet exercice, vous allez créer un second site et lui associer un sous-réseau. Les tâches principales de cet exercice sont les suivantes : 1.
Créer des sites supplémentaires.
2.
Créer des sous-réseaux et association avec les sites.
Tâche 1 : Création de sites supplémentaires •
Créez un site nommé HQ-BUILDING-2.
•
Créez un site nommé BRANCHA.
Tâche 2 : Création de sous-réseaux et association avec les sites •
Créez un sous-réseau, 10.1.0.0/24, et associez-le au site HQ-BUILDING-2.
•
Créez un sous-réseau, 10.2.0.0/24, et associez-le au site BRANCHA. Résultats : Au terme de cet exercice, vous devriez avoir créé deux nouveaux sites, HQBUILDING-2 et BRANCHA, et les avoir associés aux sous-réseaux 10.1.0.0/24 et 10.2.0.0/24.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 3 : Déplacement de contrôleurs de domaine dans des sites Tâche 1 : Déplacement de contrôleurs de domaine vers de nouveaux sites •
Déplacez HQDC03 dans le site HQ-BUILDING-2.
•
Déplacez BRANCHDC01 dans le site BRANCHA.
Important : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce module.
Questions de contrôle des acquis Question : Vous avez un site de 50 sous-réseaux, chacun avec une adresse de sousréseau 10.0.x.0/24, et vous n'avez pas d'autre sous-réseau 10.0.x.0. Comment faire pour faciliter l'identification des 50 sous-réseaux et les associer à un site ? Question : Pourquoi est-il important que tous les sous-réseaux soient identifiés et associés à un site dans une entreprise à plusieurs sites ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-26
12-27
Leçon 2
Configuration des partitions d'application et du catalogue global
Dès que votre domaine comporte plus d'un contrôleur de domaine, vous devez envisager la réplication de la base de données de l'annuaire entre les contrôleurs de domaine. Dans cette leçon, vous allez découvrir quelles partitions de l'annuaire sont répliquées dans chaque contrôleur de domaine d'une forêt et comment gérer la réplication du catalogue global (CG) et des partitions d'application.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
définir l'objectif du catalogue global ;
•
configurer des contrôleurs de domaine en tant que serveurs CG ;
•
implémenter la mise en cache de l'appartenance au groupe universel ;
•
comprendre la fonction des partitions de l'annuaire d'applications.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Examen des partitions Active Directory
Points clés Dans le Module 1, vous avez appris que les Services de domaine Active Directory (AD DS) comprennent un magasin de données pour l'identité et la gestion, notamment de la base de données de l'annuaire, Ntds.dit. Ce seul fichier contient les partitions de l'annuaire. Chaque partition de l'annuaire, également appelée contexte de nommage, contient les objets d'une certaine étendue. Trois contextes de nommage majeurs sont abordés dans ce cours : •
Domaine : le contexte de nommage Domaine contient tous les objets stockés dans un domaine, dont les utilisateurs, les groupes, les ordinateurs et les conteneurs de la stratégie de groupe (GPC).
•
Configuration : la partition Configuration contient les objets qui représentent la structure logique de la forêt (domaines), ainsi que la topologie physique (sites, sous-réseaux et services).
•
Schéma : le Schéma définit les classes des objets et leurs attributs pour l'ensemble de l'annuaire.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-28
12-29
Chaque contrôleur de domaine conserve une copie, ou réplica, de plusieurs contextes de nommage. Comme le Schéma, la Configuration est répliquée dans chaque contrôleur de domaine de la forêt. Le contexte de nommage Domaine d'un domaine est répliqué dans tous les contrôleurs de ce domaine mais pas dans ceux des autres domaines. Ainsi, chaque contrôleur de domaine possède au moins trois réplicas : le contexte de nommage Domaine de son domaine, Configuration et Schéma. Traditionnellement, les réplicas étaient des copies intégrales, contenant chaque objet d'un attribut, et ils étaient inscriptibles dans tous les contrôleurs de domaine. Depuis Windows Server 2008, les Contrôleurs de domaine en lecture seule (RODC) ont légèrement changé la donne. Tout RODC conserve un réplica en lecture seule de tous les objets des contextes de nommage Configuration, Schéma et Domaine de son domaine. Toutefois, certains attributs ne sont pas répliqués dans un RODC, notamment les données confidentielles telles que les mots de passe des utilisateurs, à moins que la stratégie de mots de passe du RODC autorise cette réplication. Il existe également des attributs correspondant à des données confidentielles des domaines et de la forêt qui ne sont jamais répliqués dans les RODC.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Fonctionnement du catalogue global
Points clés Imaginez une forêt comprenant deux domaines. Chacun d'eux possède deux contrôleurs de domaine. Ces quatre contrôleurs de domaine conserveront un réplica des contextes de nommage Schéma et Configuration de la forêt. Les contrôleurs de domaine du Domaine A ont des réplicas du contexte de nommage du Domaine A, et les contrôleurs de domaine du Domaine B ont des réplicas du contexte de nommage du Domaine B. Que se passe-t-il si un utilisateur du Domaine B recherche un utilisateur, un ordinateur ou un groupe du Domaine A ? Les contrôleurs du Domaine B ne conservent aucune information sur les objets du Domaine A. Donc, un contrôleur du Domaine B ne peut pas répondre à une requête demandant des objets du contexte de nommage Domaine du Domaine A.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-30
12-31
C'est là qu'intervient le catalogue global. Le catalogue global (CG) est une partition qui stocke des informations sur chaque objet de la forêt. Lorsqu'un utilisateur du Domaine B recherche un objet du Domaine A, le CG fournit les résultats de la requête. Pour optimiser l'efficacité du CG, celui-ci ne contient pas tous les attributs de chaque objet de la forêt. Il contient uniquement un sous-ensemble des attributs utiles pour la recherche inter-domaines. C'est pourquoi le CG est également appelé Jeu d'attributs partiel (PAS). Étant donné son rôle dans la prise en charge des recherches, vous pouvez considérer le CG comme une sorte d'index du magasin de données AD DS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Emplacement des serveurs de catalogue global
Points clés Le catalogue global améliore considérablement l'efficacité du service d'annuaire et il est obligatoire pour les applications telles que Microsoft Exchange Server et Microsoft Office Outlook®. C'est pourquoi il faut qu'un catalogue global soit disponible pour ces applications, entre autres. Seul un contrôleur de domaine peut servir de CG et, dans une configuration idéale, chaque contrôleur de domaine serait également un serveur CG. En réalité, de nombreuses organisations configurent désormais tous leurs contrôleurs de domaine en tant que serveurs CG.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-32
12-33
L'inconvénient d'une telle configuration concerne la réplication. Le CG est une partition supplémentaire qui doit être répliquée. Dans une forêt à un seul domaine, une légère charge supplémentaire est ajoutée lorsque vous configurez tous les contrôleurs de domaine en tant que serveurs CG. En effet, tous les contrôleurs de domaine conservent déjà un jeu complet des attributs de tous les objets du domaine et de la forêt. Dans une grande forêt à plusieurs domaines, il y aura une surcharge liée à la réplication des modifications du jeu d'attributs partiel des objets dans d'autres domaines. Toutefois, de nombreuses organisations estiment que la réplication Active Directory est suffisamment efficace pour répliquer le CG sans impact notable sur leurs réseaux et que ses avantages sont bien supérieurs à cet inconvénient. Si vous décidez de configurer tous vos contrôleurs de domaine en serveurs CG, vous n'aurez plus à vous inquiéter de l'emplacement du maître d'opérations de l'infrastructure. En effet, son rôle n'est plus nécessaire dans un domaine où tous les contrôleurs de domaine sont des serveurs CG. Il est fortement recommandé de configurer un serveur CG dans un contrôleur de domaine d'un site avec une ou plusieurs des caractéristiques suivantes : •
Une application couramment utilisée interroge l'annuaire à l'aide du port 3268, le serveur CG.
•
La connexion à un serveur CG est lente ou non fiable.
•
Le site contient un ordinateur exécutant Exchange Server.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Configuration d'un serveur de catalogue global (CG)
Points clés Lorsque vous créez le premier domaine de la forêt, le premier contrôleur de domaine est configuré en tant que Catalogue global (CG). Pour chaque contrôleur de domaine supplémentaire, vous devez décider s'il doit s'agir d'un serveur CG ou non. L'Assistant Installation des services de domaine Active Directory et la commande Dcpromo.exe vous permettent tous les deux de configurer un serveur CG lors de la promotion d'un contrôleur de domaine. Vous pouvez également ajouter un CG à un contrôleur de domaine ou l'en retirer à l'aide de Sites et services Active Directory. Pour configurer un contrôleur de domaine en tant que catalogue global : 1.
Développez le site, son conteneur Serveurs et l'objet serveur du contrôleur de domaine.
2.
Cliquez avec le bouton droit sur le nœud Paramètres NTDS et choisissez Propriétés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-34
3.
12-35
Dans l'onglet Général, illustré dans la capture d'écran suivante, cochez la case Catalogue global.
Pour supprimer le catalogue global d'un contrôleur de domaine, répétez la même procédure en désactivant la case à cocher Catalogue global.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Mise en cache des appartenances à un groupe universel
Points clés Dans le Module 4, vous avez appris qu'Active Directory prend en charge les groupes qui ont une étendue universelle. Les groupes universels sont conçus pour inclure des utilisateurs et des groupes de plusieurs domaines dans une forêt. L'appartenance aux groupes universels est répliquée dans le catalogue global. Lorsqu'un utilisateur ouvre une session, un serveur CG fournit son appartenance à un groupe universel. Si aucun CG n'est disponible, l'appartenance à un groupe universel ne l'est pas non plus. Il est possible d'utiliser un groupe universel pour refuser l'accès d'un utilisateur aux ressources. C'est pourquoi Windows évite tout incident de sécurité en refusant l'authentification de l'utilisateur auprès du domaine. Si l'utilisateur a déjà ouvert une session sur son ordinateur auparavant, il peut le refaire à l'aide de ses informations d'identification mises en cache, mais dès qu'il tente d'accéder aux ressources du réseau, l'accès lui est refusé. Pour résumer : si aucun serveur CG n'est disponible, les utilisateurs ne pourront pas se connecter ni accéder aux ressources du réseau. Si chaque contrôleur de domaine est un serveur CG, ce problème ne survient pas.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-36
12-37
Toutefois, si la réplication vous inquiète et si vous avez donc choisi de ne pas configurer un contrôleur de domaine en serveur CG, vous pouvez faciliter les ouvertures de session en activant la Mise en cache des appartenances aux groupes universels (UGMC). Lorsque vous configurez la mise en cache de l'appartenance au groupe universel dans un contrôleur de domaine d'une succursale par exemple, ce contrôleur de domaine va obtenir les informations d'appartenance auprès d'un CG pour un utilisateur lors de sa première ouverture de session dans le site. Et ce contrôleur de domaine va mettre ces informations en cache indéfiniment, en les actualisant toutes les huit heures. Ainsi, si l'utilisateur se connecte ultérieurement et qu'aucun serveur CG n'est disponible, le contrôleur de domaine peut utiliser ses informations d'appartenance mises en cache pour autoriser la connexion de cet utilisateur. Il est donc recommandé de configurer la mise en cache UGMC dans les contrôleurs de domaine des sites dont la connexion à un serveur de catalogue global est peu fiable. Pour configurer la mise en cache UGMC : 1.
Ouvrez le composant logiciel enfichable Sites et services Active Directory et sélectionnez le site concerné dans l'arborescence de la console.
2.
Dans le volet d'informations, cliquez avec le bouton droit sur Paramètres de site NTDS, puis choisissez Propriétés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
3.
La boîte de dialogue Propriétés des paramètres de site NTDS, illustrée dans la capture d'écran suivante, expose l'option Activer la mise en cache de l'appartenance au groupe universel. Vous pouvez cocher cette case et spécifier le catalogue global à partir duquel actualiser la mise en cache de l'appartenance.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-38
12-39
Fonctionnement des partitions de l'annuaire d'applications
Points clés Bien que les partitions Domaine, Configuration et Schéma de l'annuaire soient répliquées dans tous les contrôleurs de domaine d'un domaine, et que les partitions Configuration et Schéma soient encore répliquées dans tous les contrôleurs de domaine de la forêt, et que le jeu d'attributs partiel soit répliqué par les serveurs CG, Active Directory prend également en charge les partitions de l'annuaire d'applications. Une partition de l'annuaire d'applications est une partie du magasin de données qui contient les objets requis par une application ou un service qui est extérieur au service AD DS central. À la différence des autres partitions, les partitions d'application peuvent être ciblées pour se répliquer dans certains contrôleurs de domaine. Par défaut, elles ne sont pas répliquées dans tous les contrôleurs de domaine. Les partitions de l'annuaire d'applications sont conçues pour prendre en charge les applications et les services Active Directory. Elles peuvent contenir tout type d'objets, excepté les entités de sécurité telles que les utilisateurs, les ordinateurs et les groupes de sécurité. Ces partitions étant répliquées uniquement lorsque c'est nécessaire, elles offrent les avantages de la tolérance de pannes, de la disponibilité et des performances tout en optimisant le trafic de la réplication.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Pour comprendre le fonctionnement de ces partitions, examinez celles qui sont conservées par un serveur DNS Microsoft. Lorsque vous créez une zone intégrée à Active Directory, les enregistrements DNS sont répliqués entre les serveurs DNS à l'aide d'une partition de l'annuaire d'applications. La partition et ses objets enregistrement DNS ne sont pas répliqués dans tous les contrôleurs de domaine, uniquement dans ceux qui jouent le rôle de serveur DNS. Pour explorer les partitions de l'annuaire d'applications de votre forêt : 1.
Ouvrez le composant logiciel enfichable Éditeur ADSI.
2.
Cliquez avec le bouton droit sur la racine de l'Éditeur ADSI, puis choisissez Connexion à.
3.
Dans la liste déroulante Sélectionnez un contexte d'attribution de noms connu, choisissez Configuration, puis cliquez sur OK.
4.
Développez Configuration et le dossier représentant la partition Configuration, puis sélectionnez le dossier Partitions CN=Partitions dans l'arborescence de la console. Dans le volet d'informations, vous verrez les partitions stockées dans votre magasin de données AD DS, comme illustré dans la capture d'écran suivante.
Notez les deux partitions d'application de la figure, ForestDnsZones et DomainDnsZones. La plupart des partitions d'applications sont créées par les applications qui en ont besoin. DNS en est un exemple, et Telephony Application Programming Interface (TAPI) en est un autre. Les membres du groupe Admins de l'entreprise peuvent également créer des partitions de l'annuaire d'applications manuellement à l'aide de la commande Ntdsutil.exe. Une partition d'applications peut apparaître à tout endroit de l'espace de noms de la forêt où peut apparaître une partition de domaines. Les noms uniques des partitions DNS (DC=DomainDnsZones,DC=contoso,DC=com, par exemple) placent les partitions en position d'enfant de la partition de domaines DC=contoso,DC=com. Une partition d'applications peut également être un enfant d'une autre partition d'applications ou une nouvelle arborescence dans la forêt.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-40
12-41
En général, vous utiliserez des outils propres à l'application pour gérer la partition de l'annuaire d'applications, ses données et sa réplication. Par exemple, l'ajout d'une zone intégrée à Active Directory à un serveur DNS configurera automatiquement le contrôleur de domaine pour qu'il reçoive un réplica de la partition DomainDns. Avec des outils tels que Ntdsutil.exe et Ldp.exe, vous pouvez gérer les partitions de l'annuaire d'applications directement. Il est important de tenir compte des partitions d'applications avant de rétrograder un contrôleur de domaine. Si un contrôleur de domaine héberge une partition de l'annuaire d'applications, vous devez évaluer la raison d'être de cette partition : estelle requise par toutes les applications et le contrôleur de domaine conserve-t-il son dernier réplica. Auquel cas, la rétrogradation du contrôleur de domaine entraînera une perte définitive de toutes les informations stockées dans la partition. Bien que l'Assistant Installation des services de domaine Active Directory vous propose de supprimer lui-même les partitions de l'annuaire d'applications, il est recommandé de le faire manuellement avant de rétrograder un contrôleur de domaine.
Lectures complémentaires •
Pour plus d'informations sur les partitions de l'annuaire d'applications, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168551.
•
Pour apprendre à gérer les partitions de l'annuaire d'applications, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168553.
•
Pour plus d'informations sur les partitions de l'annuaire d'applications et la rétrogradation des contrôleurs de domaine, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168554.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Atelier pratique B : Configuration des partitions d'application et du catalogue global
Scénario Vous êtes administrateur chez Contoso, Ltd. Dans le cadre de l'amélioration de la disponibilité et de la résilience du service d'annuaire, vous décidez de configurer des serveurs CG supplémentaires et la mise en cache des appartenances aux groupes universels. Vous êtes également intéressé par la relation entre les zones intégrées à Active Directory et les partitions d'application DNS.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-42
12-43
Exercice 1 : Configuration d'un serveur de catalogue global (CG) Le premier contrôleur de domaine d'une forêt agit en tant que serveur de catalogue global. Vous préférerez placer des serveurs CG à d'autres endroits pour prendre en charge les interrogations de l'annuaire, les ouvertures de session et les applications telles que Exchange Server. Dans cet exercice, vous allez configurer BRANCHDC01 pour qu'il héberge un réplica du jeu d'attributs partiel : le catalogue global. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Configurer un serveur de catalogue global
Tâche 1 : Démarrage des ordinateurs virtuels et ouverture d'une session Les ordinateurs virtuels devraient déjà avoir été démarrés et être disponibles après l'Atelier pratique A. Toutefois, si ce n'est pas le cas, suivez la procédure ci-dessous, puis effectuez les exercices 1 à 3 de l'Atelier pratique A avant de continuer. 1.
Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateur virtuel peut prendre plusieurs minutes.
2.
Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans y ouvrir de session.
3.
Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir de session.
4.
Après le démarrage de HQDC03, démarrez 6238B-BRANCHDC01-B sans y ouvrir de session.
5.
Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâche suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Tâche 2 : configuration d'un serveur de catalogue global (CG) 1.
Exécutez Sites et services Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Configurez HQDC02 pour agir en tant que serveur CG.
3.
Confirmez que BRANCHDC01 est un serveur de catalogue global. Résultats : au terme de cet exercice, vous aurez configuré HQDC02 pour qu'il soit un serveur de catalogue global et confirmé que BRANCHDC01 est déjà un serveur de catalogue global.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-44
12-45
Exercice 2 : Configuration de la mise en cache des appartenances à un groupe universel Dans les sites sans serveur de catalogue global, la connexion des utilisateurs peut échouer si le contrôleur de domaine du site est incapable de contacter un serveur de catalogue global d'un autre site. Pour éviter que ce scénario ne se produise, vous pouvez configurer un site de sorte qu'il mette en cache l'appartenance aux groupes universels. Dans cet exercice, vous allez créer un site qui reflète le bureau d'une succursale et le configurer pour qu'il mette en cache l'appartenance à des groupes universels. Les tâches principales de cet exercice sont les suivantes : •
configurer la mise en cache de l'appartenance au groupe universel.
Tâche 1 : Configuration de la mise en cache de l'appartenance aux groupes universels •
Configurez les Paramètres du site NTDS de BRANCHA de sorte que les contrôleurs de domaine mette en cache l'appartenance à des groupes universels. Résultats : Au terme de cet exercice, vous aurez configuré des contrôleurs de domaine dans BRANCHA pour la mise en cache de l'appartenance aux groupes universels.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 3 : Examen du système DNS et des partitions de l'annuaire d'applications Dans cet exercice, vous allez explorer les enregistrements DNS relatifs à la réplication et à la partition de l'annuaire d'applications DomainDnsZone, à l'aide de l'Éditeur ADSI. Les tâches principales de cet exercice sont les suivantes : 1.
Vérifier les enregistrements DNS relatifs à la réplication.
2.
Vérifier la partition DNS de l'annuaire d'applications.
Tâche 1 : Examen des enregistrements DNS relatifs à la réplication 1.
Exécutez le Gestionnaire DNS en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Examinez les enregistrements SRV du domaine _tcp.HEADQUARTERS._sites.contoso.com
3.
Examinez les enregistrements SRV du domaine _tcp.BRANCHA._sites.contoso.com.
Tâche 2 : Examen de la partition DNS de l'annuaire d'applications 1.
Cliquez sur Démarrer > Outils administratifs >Éditeur ADSI et entrez des informations d'identification d'administrateur lorsque le système vous les demande. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Dans l'arborescence de la console, cliquez avec le bouton droit sur Éditeur ADSI, puis choisissez Connexion à.
3.
Dans la liste déroulante Sélectionnez un contexte d'attribution de noms connu, sélectionnez Configuration.
4.
Acceptez toutes les autres valeurs par défaut. Cliquez sur OK.
5.
Dans l'arborescence de la console, cliquez sur Configuration, puis développez cet élément.
6.
Dans l'arborescence de la console, cliquez sur CN=Configuration, DC=contoso, DC=com, puis développez cet élément.
7.
Dans l'arborescence de la console, cliquez sur CN=Partitions.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-46
8.
Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion.
9.
Cliquez sur Sélectionnez ou entrez un nom unique ou un contexte d'attribution de noms.
12-47
10. Dans la zone de liste déroulante, tapez DC=DomainDnsZones,DC=contoso,DC=com. Cliquez sur OK. 11. Dans l'arborescence de la console, cliquez sur Contexte d'attribution de noms par défaut, puis développez cet élément. 12. Cliquez sur DC=DomainDnsZones,DC=contoso,DC=com, puis développez cet élément. 13. Cliquez sur CN=MicrosoftDNS, puis développez cet élément. 14. Cliquez sur DC=contoso.com. 15. Examinez les objets de ce conteneur. Comparez ces enregistrements aux enregistrements DNS que vous avez examinés dans l'exercice précédent. Résultats : Au terme de cet exercice, vous aurez exploré les enregistrements DNS et la partition DNS de l'annuaire d'applications pour le domaine contoso.com.
Important : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce module.
Questions de contrôle des acquis Question : Décrivez la relation qui existe entre les enregistrements que vous avez affichés dans l'Éditeur ADSI et ceux affichés dans le Gestionnaire DNS. Question : Quand vous avez examiné les enregistrements DNS du domaine _tcp.BRANCHA._sites.contoso.com, quel contrôleur de domaine inscrivait les enregistrements SRV dans le site ? Expliquez pourquoi.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Leçon 3
Configuration de la réplication
Dans la leçon 1, vous avez appris à créer des objets site et sous-réseau qui permettent à Active Directory et à ses clients de localiser l'accès à l'authentification et à l'annuaire. Vous aviez également choisi l'emplacement des contrôleurs de domaine. Dans la leçon 2, vous avez configuré des serveurs de catalogue global et des partitions de l'annuaire d'applications. Vous avez géré les éléments à répliquer entre les contrôleurs de domaine. Dans cette leçon, vous allez découvrir comment et quand la réplication a lieu. Vous découvrirez pourquoi la configuration par défaut d'Active Directory prend en charge une réplication efficace et pourquoi vous devez modifier cette configuration pour que la réplication soit encore plus efficace, en fonction de la topologie de votre réseau.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-48
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
créer des objets connexion pour configurer la réplication entre deux contrôleurs de domaine ;
•
implémenter des liens de site et des coûts de liens de site pour gérer la réplication entre plusieurs sites ;
•
désigner des serveurs tête de pont privilégiés ;
•
comprendre la notification et l'interrogation ;
•
générer des rapports et analyser la réplication avec la commande repadmin.exe ;
•
vérifier le bon fonctionnement de la réplication Active Directory avec la commande dcdiag.exe.
12-49
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Fonctionnement de la réplication Active Directory
Points clés Dans les leçons précédentes, vous avez appris à répartir les contrôleurs de domaine en différents emplacements du réseau et comment représenter ces emplacements par des objets site et sous-réseau. Vous avez également étudié la réplication des partitions de l'annuaire (schéma, configuration et domaine), le jeu d'attributs partiel (catalogue global) et les partitions d'application. Le principal concept à ne pas oublier concernant la réplication Active Directory est qu'elle est conçue pour, qu'en fin de compte, chaque réplica d'un contrôleur de domaine soit cohérent avec ceux de la partition hébergée par d'autres contrôleurs de domaine. Il est peu probable que tous les contrôleurs de domaine possèdent exactement les mêmes informations dans leurs réplicas à tout moment car le contenu de l'annuaire est constamment modifié. Toutefois, la réplication Active Directory garantit que toutes les modifications d'une partition seront transmises à tous les réplicas de cette partition. La réplication Active Directory recherche un équilibre entre la précision (ou intégrité) et la cohérence (on parle de convergence) et les performances (maintien du trafic de réplication à un niveau raisonnable). Ce numéro d'équilibriste est qualifié de faible interdépendance.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-50
12-51
Voici les principales caractéristiques de la réplication Active Directory : •
Réplication multimaître : tout contrôleur de domaine peut déclencher et valider une modification dans Active Directory.
•
Réplication par réception : tout contrôleur de domaine demande ou « reçoit » des modifications de la part d'autres contrôleurs de domaine. Au fur et à mesure de votre découverte de la réplication, vous risquez d'oublier ceci. En effet, un contrôleur de domaine notifie ses partenaires de réplication que des modifications de l'annuaire sont stockées chez lui. Ou un contrôleur de domaine peut interroger ses partenaires pour savoir s'ils stockent de nouvelles modifications de l'annuaire. Cependant, au final, les modifications elles-mêmes sont demandées ou « réceptionnées » par le contrôleur de domaine cible.
•
Réplication différée : un contrôleur de domaine peut réceptionner des modifications en provenance d'un partenaire, puis les rendre disponibles pour un autre partenaire. Par exemple, le contrôleur de domaine B peut réceptionner des modifications déclenchées par le contrôleur de domaine A. Ensuite, le contrôleur de domaine C peut recevoir ces modifications du contrôleur de domaine B.
•
Partitionnement du magasin de données : tous les contrôleurs d'un domaine hébergent uniquement le contexte des noms de ce domaine. Ceci permet de limiter au maximum le volume de la réplication, particulièrement dans les forêts à plusieurs domaines. D'autres données, dont les partitions de l'annuaire d'applications et le jeu d'attributs partiel (catalogue global), ne sont pas répliquées dans chacun des contrôleurs de domaine de la forêt, du moins dans la configuration par défaut.
•
Génération automatique d'une topologie de réplication efficace et robuste : par défaut, Active Directory va configurer une topologie de réplication efficace et bidirectionnelle afin que la défaillance de l'un des contrôleurs de domaine ne perturbe pas la réplication. Cette topologie est automatiquement mise à jour lorsque des contrôleurs de domaine sont ajoutés, supprimés ou déplacés d'un site à l'autre.
•
Réplication au niveau des attributs : lorsque qu'un attribut d'un objet est modifié, seul cet attribut est répliqué, ainsi que ses métadonnées minimales. La totalité de l'objet n'est pas répliquée, sauf en cas de création d'objet.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
•
Différence de contrôle entre la réplication intrasite (au sein d'un seul site) et la réplications intersites (entre plusieurs sites) : la réplication peut être contrôlée différemment dans ces deux situations.
•
Détection et gestion des collisions : il arrive parfois, mais rarement, qu'un attribut soit modifié dans deux contrôleurs de domaine différents au cours de la même fenêtre de réplication. Dans ce cas, les deux modifications devront être rapprochées. Active Directory possède des algorithmes de résolution spécialement conçus pour de telles situations.
Pour bien comprendre le fonctionnement de la réplication Active Directory, il suffit d'examiner chacun de ses composants. Les sections suivantes traitent les composants de la réplication Active Directory.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-52
12-53
Réplication intrasite
Points clés Cette section inclut une discussion sur les points clés suivants : •
Objets connexion
•
Vérificateur de cohérence des données (KCC)
•
Réplication intrasite
•
Notification
•
Interrogation
Objets connexion Un contrôleur de domaine réplique les modifications d'un autre contrôleur de domaine grâce aux objets connexion d'AD DS, couramment appelés objets connexion. Les objets connexion apparaissent dans les outils administratifs du composant logiciel enfichable Sites et services Active Directory sous forme d'objets stockés dans le conteneur Paramètres NTDS de l'objet serveur d'un contrôleur de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
La capture d'écran suivante présente un exemple : un objet connexion de SERVER02 configure la réplication de SERVER01 vers SERVER02. Tout objet connexion représente un chemin de réplication entre deux contrôleurs de domaine.
Les objets connexion sont unidirectionnels et représentent uniquement les réplications entrantes. Dans Active Directory, la réplication est toujours une technologie de réception. Dans le domaine illustré ci-dessus, SERVER02 reçoit les modifications de SERVER01. Dans cet exemple, SERVER02 est considéré comme un partenaire de réplication en aval de SERVER01. SERVER01 est le partenaire en amont. Les modifications de SERVER01 s'écoulent vers SERVER02. Remarque : réplication imposée. Vous pouvez imposer la réplication entre deux contrôleurs de domaine en cliquant avec le bouton droit sur l'objet connexion et en choisissant Répliquer maintenant. N'oubliez pas que la réplication est uniquement entrante. Par conséquent, pour répliquer deux contrôleurs de domaine, vous devrez répliquer l'objet connexion entrant de chaque contrôleur de domaine.
Vérificateur de cohérence des données (KCC) Les chemins de réplication établis entre des contrôleurs de domaine par des objets connexion créent la topologie de réplication de la forêt. Heureusement, vous n'avez pas à créer cette topologie manuellement. Par défaut, Active Directory crée une topologie qui garantit l'efficacité de la réplication. La topologie est bidirectionnelle. Ainsi, si un contrôleur de domaine échoue, la réplication se poursuit sans interruption. La topologie garantit également qu'il n'y aura pas plus de trois sauts entre deux contrôleurs de domaine, quels qu'ils soient.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-54
12-55
Dans la capture d'écran précédente, vous remarquerez que l'objet connexion indique qu'il a été généré automatiquement. Dans chaque contrôleur de domaine, un composant d'Active Directory appelé Vérificateur de cohérence de connaissances (KCC, Knowledge Consistency Checker) facilite la création et l'optimisation de la réplication automatique entre les contrôleurs de domaine d'un site. Ce vérificateur KCC évalue les contrôleurs de domaine d'un site et crée les objets connexion nécessaires pour construire la topologie bidirectionnelle à trois sauts décrite précédemment. Si un contrôleur de domaine est ajouté à un site ou supprimé, ou si un contrôleur de domaine ne répond plus, le vérificateur KCC réorganise la topologie dynamiquement, en ajoutant et en supprimant des objets connexion pour reconstruire une topologie de réplication efficace. Vous pouvez créer des objets connexion manuellement pour spécifier des chemins de réplication qui doivent perdurer. Les objets connexion créés manuellement ne sont jamais supprimés par le vérificateur KCC. Pour créer un objet connexion : 1.
Dans Sites et services Active Directory, localisez l'objet serveur du partenaire de réplication en aval, c'est-à-dire le contrôleur de domaine qui va recevoir les modifications d'un contrôleur de domaine source. Cliquez avec le bouton droit sur le conteneur Paramètres NTDS dans l'objet serveur, puis choisissez Nouvelle connexion aux services de domaine Active Directory.
2.
Dans la boîte de dialogue Trouver des contrôleurs de domaine Active Directory, sélectionnez le partenaire de réplication en amont, puis cliquez sur OK.
3.
Nommez le nouvel objet connexion, puis cliquez sur OK.
4.
Ouvrez les propriétés de l'objet connexion. Utilisez le champ Description pour indiquer l'objectif de cet objet connexion créé manuellement.
Au sein d'un site, très peu de scénarios exigent la création d'un objet connexion. Parmi ces scénarios se trouvent les maîtres d'opérations de secours. Les maîtres d'opérations sont traités au Module 11. Il est recommandé de sélectionner des contrôleurs de domaine comme maîtres d'opérations de secours pour les utiliser en cas de transfert ou de captage du rôle de maître d'opérations. Tout maître d'opérations de secours doit être un partenaire de réplication direct pour le maître d'opérations actuel. Ainsi, si un contrôleur de domaine nommé DC01 est le maître RID et que le contrôleur de domaine DC02 est le système qui assumera le rôle de maître RID en cas de déconnexion de DC01, alors un objet connexion doit être créé dans DC02 afin que sa réplication s'effectue directement à partir de DC01.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Réplication intrasite Après la création (automatique par le KCC ou manuelle) des objets connexion entre les contrôleurs de domaine d'un site, la réplication peut avoir lieu. La réplication intrasite implique la réplication des modifications au sein d'un seul site. Notification Examinons le site illustré dans la capture d'écran précédente. Lorsque SERVER01 effectue une modification dans une partition, il la met en file d'attente pour qu'elle soit répliquée vers ses partenaires. SERVER01 attend 15 secondes, par défaut, avant de notifier son premier partenaire de réplication, SERVER02, de la modification. La notification est le processus grâce auquel un partenaire en amont informe ses partenaires en aval qu'une modification est disponible. SERVER01 attend trois secondes, par défaut, entre les notifications envoyées à d'autres partenaires. Ces délais, appelés délai de notification initial et délai de notification consécutif, sont conçus pour étaler le trafic réseau inhérent à la réplication intrasite. À la réception de la notification, le partenaire en aval, SERVER02, demande les modifications à SERVER01, et l'Agent de réplication d'annuaire (DRA) effectue le transfert de l'attribut entre SERVER01 et SERVER02. Dans cet exemple, SERVER01 a réalisé la modification initiale dans Active Directory. Il s'agit du contrôleur de domaine d'origine et la modification qu'il effectue est à l'origine de la modification. Lorsque SERVER02 reçoit la modification de SERVER01, il effectue à son tour la modification dans son annuaire. La modification n'est pas qualifiée de modification répliquée ; il s'agit néanmoins d'une modification. SERVER02 met la modification en file d'attente pour sa réplication dans ses propres partenaires en aval. SERVER03 est un partenaire de réplication en aval de SERVER02. Après 15 secondes, SERVER02 notifie SERVER03 de la présence d'une modification. SERVER03 effectue la modification répliquée dans son annuaire, puis notifie ses partenaires en aval. La modification a nécessité deux sauts : de SERVER01 à SERVER02 et de SERVER02 à SERVER03. La topologie de réplication garantit qu'il n'y aura pas plus de trois sauts avant que tous les contrôleurs de domaine du site aient reçu la modification. Avec environ 15 secondes par saut, la modification sera entièrement répliquée dans le site en une minute.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-56
12-57
Interrogation Il est possible que SERVER01 n'effectue aucune modification dans ses réplicas pendant une période assez longue, particulièrement pendant les heures d'inactivité. Dans ce cas, SERVER02, son partenaire de réplication en aval, ne recevra aucune notification de SERVER01. Il est également possible que SERVER01 soit hors ligne, ce qui l'empêche d'envoyer des notifications à SERVER02. Il est donc important pour SERVER02 de savoir que son partenaire en amont est en ligne et n'a simplement aucune modification. Pour obtenir ces informations, on utilise un processus appelé interrogation. L'interrogation implique que le partenaire en aval contacte son partenaire en amont en lui demandant si des modifications sont en attente de réplication. Par défaut, l'intervalle d'interrogation est d'une fois par heure pour la réplication intrasite. Il est possible, mais pas recommandé, de configurer la fréquence d'interrogation dans les propriétés d'un objet connexion en cliquant sur Modifier la planification. Si un partenaire en amont ne parvient pas à répondre à des interrogations répétées, le partenaire en aval lance le vérificateur KCC pour vérifier la topologie de réplication. Si le serveur en amont est véritablement hors ligne, la topologie de réplication du site est reconstruite pour s'adapter à ce changement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Liens de site
Points clés Le vérificateur KCC suppose que, au sein d'un site, tous les contrôleurs de domaine peuvent communiquer entre eux. Il construit une topologie de réplication intrasite qui est indépendante de la connectivité réseau sous-jacente. Toutefois, entre les sites, vous pouvez représenter les chemins réseau sur lesquels la réplication doit se produire en créant des objets lien de site. Un lien de site contient deux sites ou plus. Le Générateur de topologie intersites (ISTG, InterSite Topology Generator), un composant du vérificateur KCC, construit des objets connexion entre les serveurs dans chacun des sites pour permettre la réplication intersites (entre les sites). Ces liens de site sont mal connus. Il est important de ne pas oublier qu'un lien de site représente un chemin disponible pour la réplication. Un seul lien de site ne contrôle pas les itinéraires qui sont utilisés au sein du réseau. Lorsque vous créez un lien de site et que vous lui ajoutez des sites, vous indiquez à Active Directory qu'il peut procéder à la réplication entre tous les sites associés à ce lien de site. Le générateur ISTG va créer des objets connexion, et ces objets vont déterminer l'itinéraire réel de la réplication. Bien que la topologie de réplication construite par le générateur ISTG réplique efficacement Active Directory, elle peut être insuffisante selon la topologie de votre réseau.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-58
12-59
Nous allons illustrer ce concept par un exemple. Lorsque vous créez une forêt, un objet lien de site est créé : DEFAULTIPSITELINK. Par défaut, chaque nouveau site ajouté est associé à l'objet DEFAULTIPSITELINK. Imaginons une entreprise avec un centre de données hébergé par son siège social et trois succursales. Les trois succursales sont toutes connectées au centre de données par une liaison dédiée. Vous créez des sites pour chaque succursale, Seattle (SEA), Amsterdam (AMS) et Pékin (PEK). La figure suivante illustre la topologie des sites et du réseau.
Les quatre sites étant sur le même lien de site, vous indiquez à Active Directory que ces quatre sites peuvent se répliquer mutuellement. Cela signifie qu'il est possible que Seattle réplique les modifications d'Amsterdam, qu'Amsterdam réplique les modifications de Pékin et que Pékin réplique les modifications du siège social qui, à son tour, réplique les modifications de Seattle. Dans plusieurs de ces itinéraires de réplication, le trafic réseau de la réplication circule d'une succursale vers le siège social sur sa route vers une autre succursale. Avec un seul lien de site, vous n'avez pas créé une topologie de réplication Hub and Spoke, même si la topologie de votre réseau est Hub and Spoke. C'est pourquoi il est recommandé de créer manuellement des liens de site qui reflètent la topologie physique de votre réseau. Pour l'exemple précédent, vous créeriez trois liens de site : •
HQ-AMS, entre les sites Siège social et Amsterdam
•
HQ-SEA, entre les sites Siège social et Seattle
•
HQ-PEK, entre les sites Siège social et Pékin
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Vous pourriez alors supprimer le lien de site par défaut DEFAULTIPSITELINK. La figure suivante illustre la topologie obtenue.
Après la création de vos liens de site, le générateur ISTG utilisera cette topologie pour construire une topologie de réplication intersites qui connecte chaque site. Des objets connexion seront construits pour configurer les chemins de réplication intersites. Ces objets connexion sont créés automatiquement, mais vous pouvez les créer manuellement, car il existe quelques scénarios qui exigent la création manuelle d'objets connexion intersites.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-60
12-61
Protocoles de transport de la réplication
Points clés Dans le composant logiciel enfichable Sites et services Active Directory, vous remarquerez que des liens de site sont stockés dans un conteneur nommé IP, qui est lui-même stocké dans le conteneur Transports inter-sites. Les modifications sont répliquées entre les contrôleurs de domaine à l'aide de l'un des deux protocoles suivants : Directory Service Remote Procedure Call (DS-RPC) DS-RPC apparaît dans le composant logiciel enfichable Sites et services Active Directory sous le nom IP. IP sert pour toutes les réplications intrasite et il s'agit du protocole par défaut et privilégié pour la réplication intersites. Inter-Site Messaging—Simple Mail Transport Protocol (ISM-SMTP) Mieux connu sous le nom SMTP, ce protocole est utilisé uniquement lorsque les connexions réseau entre les sites ne sont pas fiables ou pas toujours disponibles.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
En général, vous pouvez supposer que vous utiliserez IP pour toute la réplication intersites. Très peu d'entreprises utilisent SMTP pour la réplication du fait de la surcharge administrative requise pour configurer et gérer une autorité de certification (CA) et car la réplication SMTP n'est pas prise en charge pour le contexte des noms de domaine. Cela signifie que, si un site utilise SMTP pour répliquer les modifications dans le reste de l'entreprise, ce site doit être son propre domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-62
12-63
Serveurs tête de pont
Points clés Le générateur ISTG crée une topologie de réplication entre les sites sur un lien de site. Pour améliorer l'efficacité de la réplication, un contrôleur de domaine est sélectionné pour être le serveur tête de pont. Le serveur tête de pont est chargé de toute la réplication interne et externe au site pour une partition. Par exemple, si un site de centre de données contient cinq contrôleurs de domaine, l'un d'eux sera le serveur tête de pont pour le contexte des noms de domaine. Toutes les modifications effectuées à la partition du domaine au sein du centre de données seront répliquées dans tous les contrôleurs de domaine du site. Lorsque les modifications atteignent le serveur tête de pont, elles sont répliquées dans les serveurs tête de pont des succursales, qui à leur tour les répliquent dans les contrôleurs de domaine de leurs sites. De même, toutes les modifications du contexte des noms de domaine dans les succursales seront répliquées à partir des serveurs tête de pont de ces succursales dans le serveur tête de pont du centre de données, qui à son tour réplique ces modifications dans les autres contrôleurs de domaine du centre de données. La figure suivante illustre la réplication intrasite au sein de deux sites et la réplication intersites utilisant des objets connexion entre les serveurs tête de pont des sites.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Pour résumer, le serveur tête de pont est chargé de répliquer les modifications d'une partition à partir des autres serveurs tête de pont dans d'autres sites. Il est également interrogé par les serveurs tête de pont des autres sites pour savoir quand des modifications doivent être répliquées par eux. Les serveurs tête de pont sont sélectionnés automatiquement, et le générateur ISTG crée la topologie de réplication intersites pour garantir que les modifications sont bien répliquées entre les serveurs tête de pont qui partagent un lien de site. Les serveurs tête de pont sont sélectionnés par partition. Il est donc possible qu'un contrôleur de domaine d'un site soit le serveur tête de pont du schéma et qu'un autre soit celui de la configuration. Toutefois, vous découvrirez généralement qu'un contrôleur de domaine est le serveur tête de pont de toutes les partitions d'un site, à moins qu'il existe des contrôleurs de domaine d'autres domaines ou des partitions de l'annuaire d'applications. Auquel cas, des serveurs tête de pont seront choisis pour ces partitions. Serveurs tête de pont privilégiés Vous pouvez également désigner un ou plusieurs serveurs tête de pont privilégiés. Pour désigner un contrôleur de domaine comme serveur tête de pont privilégié : 1.
Ouvrez les propriétés de l'objet serveur concerné dans le composant logiciel enfichable Sites et services Active Directory.
2.
Sélectionnez le protocole de transport, qui sera presque toujours IP, puis cliquez sur Ajouter.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-64
12-65
Vous pouvez configurer plusieurs serveurs tête de pont privilégiés pour un site, mais un seul sera sélectionné et utilisé en tant que tête de pont. Si ce serveur tête de pont est défaillant, l'un des autres serveurs tête de pont privilégiés sera utilisé. Il est important de savoir que, si vous avez spécifié un ou plusieurs serveurs tête de pont et qu'aucun d'eux n'est disponible, aucun autre serveur n'est sélectionné automatiquement, et la réplication n'a pas lieu pour ce site, même s'il y a des serveurs pouvant jouer le rôle de tête de pont. Idéalement, vous ne devriez pas configurer de serveurs tête de pont privilégiés. Toutefois, pour des problèmes de performance, vous pouvez être amené à attribuer le rôle de tête de pont aux contrôleurs de domaine disposant des meilleures ressources système. Les problèmes de pare-feu peuvent également exiger qu'un seul serveur joue le rôle de tête de pont, au lieu de laisser Active Directory sélectionner et peut-être réaffecter des serveurs tête de pont au fur et à mesure.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Transitivité et ponts de liens de site
Points clés Après que vous ayez créé les liens de site et que le générateur ISTG ait généré les objets connexion pour répliquer les partitions entre les serveurs tête de pont qui partagent un lien de site, votre travail est terminé. Dans de nombreux environnements, particulièrement ceux dont les topologies réseau sont très directes, les liens de site doivent suffire pour gérer la réplication intersites. Dans les réseaux plus complexes, toutefois, vous pouvez configurer des composants et des propriétés supplémentaires pour la réplication. Transitivité des liens de site Par défaut, les liens de site sont transitifs. Cela signifie que, pour reprendre notre exemple, si les sites Amsterdam et Headquarters (siège social) sont reliés, et que les sites Headquarters et Seattle sont reliés, alors Amsterdam et Seattle sont reliés transitivement. En théorie, cela signifie que le générateur ISTG pourrait créer un objet connexion directement entre une tête de pont à Seattle et une tête de pont à Amsterdam. On retrouve ici la topologie de réplication Hub and Spoke.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-66
12-67
Vous pouvez désactiver la transitivité des liens de site en ouvrant les propriétés du Transport IP dans le conteneur Transports inter-sites et en désactivant Relier tous les liens de sites. Avant de procéder ainsi dans un environnement de production, prenez le temps de lire les ressources techniques sur la réplication, fournies par la Bibliothèque technique Windows Server sur le site Microsoft TechNet à l'adresse http://technet.microsoft.com. Ponts entre liens de site Un pont de liaison de sites connecte deux liens de sites ou plus de manière à créer un lien transitif. Les ponts entre liens de site ne sont nécessaires que lorsque vous avez désactivé l'option Relier tous les liens de sites pour le protocole de transport. N'oubliez pas que la transitivité des liens de site est activée par défaut, auquel cas, les ponts de liens de site n'auront aucun effet. La figure suivante illustre l'utilisation d'un pont de liens de site dans une forêt dans laquelle cette transitivité a été désactivée. En créant un pont entre les liens de site, AMS-HQ-SEA, qui inclut les liens HQ-AMS et HQ-SEA, ces deux liens de site deviennent transitifs. Ainsi, une connexion de réplication peut être établie entre un contrôleur de domaine à Amsterdam et un autre à Seattle.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Contrôle de la réplication intersites
Points clés Les ponts clés de cette section comprennent les éléments suivants : •
Coûts de liaison entre sites
•
Fréquence de réplication
•
Planifications de la réplication
Coûts de liaison entre sites Les coûts de liaison entre sites servent à gérer le flux du trafic de réplication lorsque celui-ci comprend plusieurs itinéraires. Vous pouvez configurer le coût des liaisons entre sites pour indiquer qu'un lien est plus rapide, plus fiable ou privilégié. Les coûts les plus élevés sont utilisés pour les liaisons lentes, et les moins élevés sont réservés aux liaisons rapides. Active Directory effectue la réplication à l'aide de la connexion présentant le coût le moins élevé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-68
12-69
Par défaut, tous les liens de site sont configurés avec un coût de 100. Pour modifier le coût d'un lien de site, ouvrez les propriétés de ce dernier et changez la valeur dans la zone de sélection numérique Coût, illustrée dans la capture d'écran suivante.
Pour reprendre notre exemple précédent, imaginons qu'un lien de site a été créé entre les sites Amsterdam et Pékin, comme dans la figure suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Un tel lien de site pourrait être configuré pour autoriser la réplication entre les contrôleurs de domaine de ces deux sites au cas où les liaisons avec le siège social deviennent indisponibles. Vous pourriez configurer une telle topologie dans le cadre d'un plan de récupération d'urgence, par exemple. Avec le coût de lien de site par défaut de 100 attribué au lien AMS-PEK, Active Directory répliquera les modifications directement entre Amsterdam et Pékin. Si vous configurez le coût sur 300, les modifications seront répliquées entre Amsterdam et le siège social, puis entre le siège social et Pékin pour un coût de 200, au lieu de passer directement par AMS-PEK pour un coût de 300. Fréquence de réplication La réplication intersites repose uniquement sur l'interrogation ; il n'y a aucune notification. Par défaut, toutes les trois heures, un serveur tête de pont interroge ses partenaires de réplication en amont pour savoir si des modifications sont disponibles. Cet intervalle de réplication est trop long pour les entreprises qui souhaitent que les modifications de leur annuaire soient répliquées plus rapidement. Vous pouvez modifier l'intervalle d'interrogation pour chaque lien de site. Pour changer l'intervalle d'interrogation d'un lien de site : •
Ouvrez les propriétés du lien de site et modifiez la valeur dans la zone de sélection numérique Réplication toutes les, illustrée dans la capture d'écran précédente.
L'intervalle minimum d'interrogation est 15 minutes. Cela signifie que, avec la configuration par défaut de la réplication Active Directory, une modification de l'annuaire effectuée dans un site ne sera pas répliquée dans les contrôleurs de domaine d'un autre site avant plusieurs minutes.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-70
12-71
Planifications de la réplication Par défaut, la réplication a lieu 24 heures par jour. Toutefois, vous pouvez limiter la réplication intersites à des heures spécifiques en modifiant les attributs de la planification d'un lien de site. Ouvrez les propriétés d'un lien de site et cliquez sur le bouton Modifier la planification. Dans la boîte de dialogue Programmer à, illustrée dans la capture d'écran suivante, vous pouvez sélectionner les heures durant lesquelles le lien est disponible pour la réplication. Le lien illustré dans la figure ne réplique pas de 08 h 00 à 18 h 00, du lundi au vendredi.
Vous devez planifier soigneusement la disponibilité des liens de site. Il est possible de planifier des fenêtres de disponibilité qui ne se chevauchent pas, auquel cas, la réplication n'a pas lieu. Il n'est généralement pas recommandé de configurer la disponibilité des liens. Si vous n'avez pas besoin de planifier les liens, vous devriez sélectionner l'option Ignorer les planifications dans les propriétés du protocole de transport IP. Cette option provoque le contournement des planifications de la disponibilité des liens de site, assurant une réplication constante (24 heures sur 24) pour tous les liens de site.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Surveillance et gestion de la réplication
Points clés Après avoir implémenté la configuration de votre réplication, vous devez pouvoir surveiller son fonctionnement à des fins d'assistance continue, d'optimisation et de résolution des problèmes. Deux outils sont particulièrement utiles pour générer des rapports et analyser la réplication : l'Outil de diagnostic de la réplication (Repadmin.exe) et Diagnostic du serveur d'annuaire (Dcdiag.exe). Cette leçon vous présente ces puissants outils. Repadmin.exe L'Outil de diagnostic de la réplication, Repadmin.exe, est un outil de ligne de commande qui vous permet de connaître l'état de la réplication dans chaque contrôleur de domaine. Les informations fournies par Repadmin.exe peuvent vous aider à détecter un problème potentiel avant qu'il ne soit hors de contrôle et à résoudre les problèmes de la réplication dans votre forêt. Vous pouvez afficher plusieurs niveaux de détails, jusqu'aux métadonnées de la réplication pour des objets et des attributs spécifiques. Ceci vous permet de savoir où et quand une modification problématique a eu lieu dans Active Directory. Vous pouvez même exploiter l'outil Repadmin.exe pour créer votre topologie de réplication et imposer la réplication entre des contrôleurs de domaine.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-72
12-73
Comme pour les autres outils de ligne de commande, tapez repadmin /? pour afficher des informations sur le fonctionnement de cet outil. Sa syntaxe de base est la suivante : repadmin arguments de la commande...
L'outil Repadmin.exe prend en charge un certain nombre de commandes qui exécutent des tâches spécifiques. Pour en savoir plus sur chaque commande, tapez repadmin /?:commande. La plupart des commandes exigent des arguments. De nombreuses commandes acceptent un paramètre DSA_LIST, qui est simplement l'étiquette réseau (nom DNS ou NetBIOS ou adresse IP) d'un contrôleur de domaine. Voici certaines des tâches de surveillance de la réplication que vous pouvez effectuer avec l'outil Repadmin : •
Afficher les partenaires de réplication d'un contrôleur de domaine : pour ce faire, tapez repadmin /showrepl DSA_LIST. Par défaut, Repadmin.exe affiche uniquement les connexions intersites. Pour afficher également les connexions intrasite, ajoutez l'argument /repsto.
•
Afficher les objets connexion d'un contrôleur de domaine : pour ce faire, tapez repadmin /showconn DSA_LIST.
•
Afficher les métadonnées d'un objet, ses attributs et la réplication : vous pouvez en apprendre beaucoup sur la réplication en examinant un objet dans deux contrôleurs de domaine différents pour savoir quels attributs ont été répliqués ou non. Tapez repadmin /showobjmeta DSA_LIST Objet, oùDSA_LIST désigne le ou les contrôleurs de domaine à interroger (vous pouvez utiliser un astérisque [*] pour englober tous les contrôleurs de domaine). Objet est l'identifiant unique de l'objet, par exemple son nom unique ou son GUID.
Repadmin vous permet également de modifier votre infrastructure de réplication. Voici certaines des tâches de gestion que vous pouvez effectuer : •
Lancer le vérificateur KCC : tapez repadmin /kcc pour obliger le vérificateur KCC à recalculer la topologie de réplication entrante pour le serveur.
•
Imposer la réplication entre deux partenaires : utilisez Repadmin pour imposer la réplication d'une partition entre deux contrôleurs de domaine, l'un étant la source et l'autre la cible. Tapez repadmin /replicate DSA_LIST_Cible Contexte_Noms_DSA_Source.
•
Synchroniser un contrôleur de domaine avec tous ses partenaires de réplication : tapez repadmin /syncall DSA /A /e pour synchroniser un contrôleur de domaine avec tous ses partenaires, y compris ceux des autres sites.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Dcdiag.exe L'outil Diagnostic du serveur d'annuaire, Dcdiag.exe, effectue certains tests et vous renseigne sur le bon fonctionnement de la réplication et de la sécurité dans AD DS. Utilisé tout seul, dcdiag.exe effectue des tests de synthèse et affiche les résultats. À l'inverse, dcdiag.exe /c effectue pratiquement tous les tests. Le résultat des tests peut être envoyé dans des fichiers de divers types, y compris XML. Tapez dcdiag /? pour afficher les instructions complètes. Vous pouvez également spécifier un ou plusieurs tests à exécuter à l'aide du paramètre /test:Nom Test. Les tests concernant directement la réplication comprennent : •
FrsEvent : signale toute erreur de fonctionnement dans le système de réplication de fichiers (FRS).
•
DFSREvent : signale toute erreur de fonctionnement dans le système de réplication DFS (DFSR).
•
Intersite : vérifie la présence de défaillances susceptibles d'empêcher ou de retarder la réplication intersites.
•
KccEvent : identifie les erreurs du vérificateur KCC.
•
Replications : vérifie la rapidité de la réplication entre les contrôleurs de domaine.
•
Topology : vérifie que la topologie de réplication est parfaitement connectée pour tous les contrôleurs de domaine.
•
VerifyReplicas : vérifie que toutes les partitions de l'annuaire d'applications sont entièrement instanciées dans tous les contrôleurs de domaine qui hébergent des réplicas.
Pour plus d'informations sur les outils Repadmin.exe et Dcdiag.exe, consultez le Centre d'aide et de support Microsoft.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-74
12-75
Atelier pratique C : Configuration de la réplication
Scénario Vous êtes l'administrateur de Contoso, Ltd. Vous souhaitez optimiser la réplication d'AD DS en l'alignant sur la topologie de votre réseau et sur les rôles de contrôleur de domaine et leur emplacement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 1 : Création d'un objet connexion Il est recommandé de configurer une réplication directe entre le contrôleur de domaine qui jouera le rôle de maître d'opérations de secours et le contrôleur de domaine qui est actuellement le maître d'opérations. Par la suite, si le maître d'opérations actuel doit être déconnecté, le maître d'opérations de secours sera aussi à jour que possible avec le maître d'opérations. Dans cet exercice, vous allez créer un objet connexion entre HQDC01 et HQDC02, où HQDC02, le maître d'opérations de secours, réplique à partir de HQDC01, le maître d'opérations actuel. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Créer un objet connexion.
Tâche 1 : Démarrage des ordinateurs virtuels et ouverture d'une session Les ordinateurs virtuels devraient déjà avoir été démarrés et être disponibles après les Ateliers pratiques A et B. Toutefois, si ce n'est pas le cas, suivez la procédure cidessous, puis effectuez les exercices 1 à 3 des Ateliers pratiques A et B avant de continuer. •
Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Le démarrage de cet ordinateur virtuel peut prendre plusieurs minutes.
•
Après l'ouverture de session sur HQDC01, démarrez 6238B-HQDC02-B sans y ouvrir de session.
•
Après le démarrage de HQDC02, démarrez 6238B-HQDC03-B sans y ouvrir de session.
•
Après le démarrage de HQDC03, démarrez BRANCHDC01-B sans y ouvrir de session.
•
Attendez la fin du démarrage de BRANCHDC01 avant de passer à la tâche suivante.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-76
12-77
Tâche 2 : Création d'un objet connexion •
Exécutez Sites et services Active Directory avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
•
Dans l'arborescence de la console, développez HEADQUARTERS, Servers et HQDC02, puis cliquez sur le nœud NTDS Settings sous HQDC02.
•
Cliquez avec le bouton droit sur NTDS Settings et choisissez Nouvelle connexion aux services de domaine Active Directory.
•
Dans la boîte de dialogue Trouver des contrôleurs de domaine Active Directory, sélectionnez HQDC01, puis cliquez sur OK, et répondez Oui au message d'avertissement.
•
Dans la boîte de dialogue Nouvel objet – Connexion, tapez le nom HQDC01 OPERATIONS MASTER, puis cliquez sur OK. Résultats : Au terme de cet exercice, vous aurez créé un objet connexion pour répliquer les modifications de HQDC01 vers HQDC02.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 2 : Création de liens de site Dans cet exercice, vous allez créer des liens entre le site du siège social et les autres sites, pour obtenir une topologie de réplication Hub and Spoke. Les tâches principales de cet exercice sont les suivantes : •
Créer des liens de site.
Tâche 1 : Création de liens de site •
Renommez le lien DEFAULTIPSITELINK en HQ-HQB2, et modifiez-le de sorte qu'il comprenne uniquement les sites HEADQUARTERS et HQBUILDING-2.
•
Créez un nouveau lien de site IP nommé HQ-BRANCHA qui comprend les sites HEADQUARTERS et BRANCHA. Résultats : Au terme de cet exercice, vous devriez avoir deux liens de site un qui relie les sites HEADQUARTERS et HQ-BUILDING-2, et un autre qui relie le sites HEADQUARTERS et BRANCHA.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-78
12-79
Exercice 3 : Déplacement de contrôleurs de domaine vers des sites Lorsque vous affectez un nouveau contrôleur de domaine, vous pouvez sélectionner son site, mais, par défaut, il sera placé dans le site associé à son adresse IP. Si vous modifiez des sites et des sous-réseaux après la mise en place des contrôleurs de domaine, vous devez déplacer les contrôleurs de domaine existants dans les sites qui conviennent. Dans cet exercice, vous allez déplacer des contrôleurs de domaine dans les sites que vous avez créés au cours des ateliers de ce module. Les tâches principales de cet exercice sont les suivantes : •
Déplacer les contrôleurs de domaine vers de nouveaux sites.
Tâche 1 : Déplacement de contrôleurs de domaine vers de nouveaux sites •
Déplacez BRANCHDC01 dans le site BRANCHA. Résultats : Au terme de cet exercice, vous devriez avoir déplacé BRANCHDC01 dans le site BRANCHA.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 4 : Désignation d'un serveur tête de pont privilégié Vous pouvez désigner un serveur tête de pont privilégié qui gérera la réplication depuis et vers son site. Ceci s'avère pratique lorsque vous souhaitez attribuer ce rôle à un contrôleur de domaine dans un site qui dispose de meilleures ressources système ou lorsque des problèmes de pare-feu exigent que ce rôle soit attribué à un seul système fixe. Dans cet exercice, vous allez désigner un serveur tête de pont privilégié pour le site. Les tâches principales de cet exercice sont les suivantes : •
Désigner un serveur tête de pont privilégié.
Tâche 1 : Désignation d'un serveur tête de pont privilégié •
Configurez HQDC02 en tant que serveur tête de pont privilégié. Après cette opération, un long message d'avertissement s'affiche. Lisez ce message. Nous en parlerons à la fin de cet atelier. Cliquez ensuite sur OK. Résultats : Au terme de cet exercice, vous aurez désigné HQDC02 comme serveur tête de pont privilégié.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-80
12-81
Exercice 5 : Configuration de la réplication intersites Après avoir créé des liens de site et, éventuellement, désigné des serveurs tête de pont, vous pouvez affiner et contrôler votre réplication en configurant les propriétés des liens de site. Dans cet exercice, vous allez réduire l'intervalle d'interrogation de la réplication intersites et augmenter le coût d'un lien de site. Les tâches principales de cet exercice sont les suivantes : •
Configurer la réplication intersites.
Tâche 1 : Configuration de la réplication intersites •
Configurez l'intervalle de réplication du lien de site HQ-HQB2 sur 15 minutes.
•
Configurez l'intervalle de réplication du lien de site HQ-BRANCHA sur 15 minutes, et le coût sur 200.
•
Examinez la planification de la réplication du lien de site HQ-BRANCHA. Testez la configuration de la planification avec plusieurs valeurs, mais cliquez sur Annuler lorsque vous avez terminé. Résultats : Au terme de cet exercice, vous devriez avoir configuré l'intervalle de la réplication intersites sur 15 minutes pour tous les liens de site.
Remarque : à la fin de cet exercice, arrêtez tous les ordinateurs virtuels et supprimez les disques d'annulation.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Gestion des sites et de la réplication Active Directory
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Questions de contrôle des acquis Question : Expliquez la signification du message d'avertissement qui s'est affiché lorsque vous avez désigné HQDC02 comme serveur tête de pont privilégié. Question : Quels sont les avantages de la réduction de l'intervalle de la réplication intersites ? Quels en sont les inconvénients ? Question : La topologie de réplication Hub and Spoke garantit que toutes les modifications des succursales seront répliquées d'abord dans le site du siège social avant de l'être dans les autres succursales. La procédure que vous avez exécutée dans l'Exercice 2 est-elle suffisante pour créer une topologie de réplication Hub and Spoke ? Si elle est insuffisante, que manque-t-il encore ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-82
13-1
Module 13 Continuité du service d'annuaire Table des matières : Leçon 1 : Surveillance d'Active Directory
13-4
Atelier pratique A : Surveillance des événements et des performances d'Active Directory
13-29
Leçon 2 : Gestion de la base de données Active Directory
13-48
Atelier pratique B : Gestion de la base de données Active Directory
13-66
Leçon 3 : Sauvegarde et restauration des services AD DS et des contrôleurs de domaine
13-74
Atelier pratique C : Sauvegarde et restauration d'Active Directory
13-89
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Vue d'ensemble du module
En tant que professionnel de l'informatique chargé de gérer Windows Server 2008 et AD DS, la réussite de votre carrière est étroitement liée au bon fonctionnement de votre domaine. Si le domaine sombre, il en va de même de votre carrière. Dans ce module, vous allez découvrir les technologies et les outils qui vous aideront à assurer le bon fonctionnement et la longévité du service d'annuaire. Vous allez apprendre à exploiter certains outils pour surveiller les performances en temps réel et à enregistrer au fur et à mesure ces performances dans un journal pour garder un œil sur les tendances et déceler les problèmes potentiels. Vous apprendrez également à optimiser et à protéger votre service d'annuaire de manière à rétablir aussi rapidement que possible tout contrôleur de domaine défaillant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-2
13-3
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : •
contrôler les performances et les événements en temps réel avec le Gestionnaire des tâches, l'Observateur d'événements et le Moniteur de fiabilité et de performances Windows ;
•
tirer parti des nouvelles fonctionnalités de l'Observateur d'événements de Windows Server 2008, notamment des vues personnalisées et des abonnements aux événements ;
•
contrôler les performances en temps réel et enregistrées avec l'Analyseur de performances, des jeux d'éléments de collecte de données et des rapports ;
•
identifier les sources d'informations relatives aux performances et aux événements des contrôleurs de domaine AD DS ;
•
créer des alertes en fonction d'événements et de mesures de performances ;
•
gérer et optimiser la base de données Active Directory ;
•
sauvegarder et restaurer AD DS et les contrôleurs de domaine ;
•
restaurer les objets et les attributs supprimés.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Leçon 1
Surveillance d'Active Directory
Les problèmes de performances sont une réalité. Le plus important est la façon dont vous y répondez, comment vous les évaluez et comment vous les corrigez. Dans cette leçon, vous allez apprendre à exploiter les outils de surveillance des performances et des événements de Windows Server 2008 pour contrôler de façon réactive et proactive le bon fonctionnement de vos contrôleurs de domaine et d'AD DS.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
surveiller les performances en temps réel avec le Gestionnaire des tâches, le Moniteur de ressources et l'Analyseur de performances ;
•
examiner les événements et les modifications avec le Moniteur de fiabilité et l'Observateur d'événements ;
•
tirer parti des nouvelles fonctionnalités de l'Observateur d'événements de Windows Server 2008, notamment des vues personnalisées et des abonnements aux événements ;
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-4
13-5
•
contrôler les performances en temps réel et enregistrées avec l'Analyseur de performances, des jeux d'éléments de collecte de données et des rapports ;
•
identifier les sources d'informations relatives aux performances et aux événements des contrôleurs de domaine AD DS ;
•
créer des alertes en fonction d'événements et de mesures de performances.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Fonctionnement des performances et des engorgements
Points clés Les performances médiocres d'un système sont généralement imputables à des ressources système insuffisantes. Les quatre principales ressources système sont le processeur, le sous-système de disque, la mémoire et le réseau. Pour identifier et corriger les engorgements, vous devez étudier avec soin les journaux système et les compteurs de performances afin de détecter les ressources actuellement limitées. Après l'augmentation de ces ressources, les performances s'améliorent généralement, puis atteignent un plafond lorsqu'elles se heurtent à un nouvel engorgement dû à la surcharge d'autres ressources système. Dans cette leçon, vous allez étudier les différents outils qui vous permettront de surveiller les performances en temps réel et d'examiner les modifications et les événements du système susceptibles d'avoir entraîné une dégradation progressive des performances.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-6
13-7
Gestionnaire des tâches
Points clés Tout professionnel de l'informatique se doit de connaître le Gestionnaire des tâches de Windows. Windows Server 2008 a considérablement amélioré les capacités du Gestionnaire des tâches. Outre les onglets habituels Applications et Processus, Windows Server 2008 propose des informations détaillées sur les services et une vue générale des performances de trois ressources système : le processeur, le réseau et la mémoire. Le Gestionnaire des tâches n'expose pas de compteur de performances en temps réel pour les disques. Enfin, le Gestionnaire des tâches permet d'obtenir la liste des utilisateurs actuellement connectés, sans qu'il soit nécessaire d'ouvrir le composant logiciel enfichable de gestion des services Terminal Server. Pour ouvrir le Gestionnaire des tâches, effectuez l'une des étapes suivantes : •
Appuyez sur Ctrl+Maj+Échap.
•
Appuyez sur Ctrl+Alt+Suppr et cliquez sur le Gestionnaire des tâches.
•
Cliquez du bouton droit dans la barre des tâches et choisissez Gestionnaire des tâches.
•
Cliquez sur le bouton Démarrer et tapez taskmgr.exe dans la zone de texte Rechercher.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Dans l'onglet Processus, vous pouvez cliquer sur Afficher les processus de tous les utilisateurs pour obtenir des informations détaillées sur les processus qui s'exécutent dans le contexte du système ou dans d'autres contextes utilisateur. Dans l'onglet Performances, cliquez sur Moniteur de ressources pour ouvrir la nouvelle vue des performances en temps réel.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-8
13-9
Moniteur de ressources
Points clés Le Moniteur de ressources est semblable au Gestionnaire des tâches, en bien mieux. Il propose une vue détaillée des performances de chacun des composants clés du système (processeur, disque, réseau et mémoire) sous forme graphique ou dans un rapport détaillé. Lorsque vous devez résoudre des problèmes de performance en temps réel, ou comprendre la raison pour laquelle un système s'exécute lentement, le Moniteur de ressources est le premier outil vers lequel vous devez vous tourner. Pour ouvrir le Moniteur de ressources, effectuez l'une des étapes suivantes : •
Ouvrez le Gestionnaire des tâches, cliquez sur l'onglet Performances, puis sur Moniteur de ressources.
•
Cliquez sur le bouton Démarrer, tapez perfmon /res dans le champ Rechercher, puis appuyez sur Entrée.
•
Cliquez sur la racine du composant logiciel enfichable Analyseur de fiabilité et de performances Windows.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Observateur d'événements
Points clés Lors du développement de Windows Server 2008, Microsoft® a entièrement réécrit l'Observateur d'événements. En arrière-plan, les événements sont stockés dans un nouveau format de fichier journal d'événements (.elf). Les événements sont présentés dans les journaux classiques de Windows tels que Application, Sécurité et Système, et dans des douzaines de nouveaux blogs dédiés à la surveillance des événements liés à des composants système spécifiques. Pour simplifier votre compréhension de ces nouveaux événements et journaux, l'Observateur d'événements propose des vues récapitulatives qui cumulent les événements de plusieurs journaux. Il vous permet également de réunir les événements de plusieurs journaux dans des vues personnalisées. Si vous ouvrez le Gestionnaire de services, vous verrez également que les événements propres aux rôles sont présentés dans la page d'accueil de chaque rôle. Les événements eux-mêmes ont également été améliorés. Ils fournissent bien plus de détails que par le passé, et vous remarquerez qu'il vous arrivera bien moins souvent de vous interroger sur la signification réelle d'un événement.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-10
13-11
Mieux encore peut-être, le sous-système d'événements a été intégré à d'autres composants Windows. À présent, grâce à intégration au Planificateur de tâches, vous pouvez déclencher une action sur la base d'un événement spécifique. Cette action peut inclure l'envoi d'un message électronique. C'est vrai : Windows peut à présent vous envoyer une alerte électronique (et éventuellement une page ou un message texte) en cas de problème. Vous pouvez également déclencher un script spécifique ou un fichier exécutable en réponse à un événement, par exemple, un script qui redémarre un service lorsque celui-ci s'arrête. La Gestion à distance de Windows (WinRM), ensemble de services Web qui permet de gérer les systèmes Windows, est un autre composant majeur à présent intégré au sous-système d'événements. Cette intégration vous permet de réunir les événements de plusieurs ordinateurs en un seul emplacement, en vous abonnant aux événements survenus dans des systèmes distants. Lorsqu'un système distant enregistre un événement qui correspond à vos critères, cet événement est transmis à un journal stocké dans l'ordinateur chargé de la collecte.
Lectures complémentaires •
Observateur d'événements http://go.microsoft.com/fwlink/?LinkId=168451
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Démonstration : Observateur d'événements
Points clés Dans cette démonstration, votre instructeur va vous présenter certaines des fonctionnalités de l'Observateur d'événements décrites dans la diapositive précédente. Il en profitera pour vous donner quelques conseils supplémentaires et pour s'assurer que l'Observateur d'événements n'a plus de secrets pour vous. Vous aurez la possibilité de mettre ces tâches en pratique dans l'atelier associé à ce module. Votre instructeur vous fera également remarquer les quatre journaux particulièrement importants pour la surveillance des contrôleurs de domaine : •
Service d'annuaire
•
DNS
•
DFSR
•
Journal opérationnel de la stratégie de groupe
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-12
13-13
Étapes de la démonstration 1.
Ouvrez l'Observateur d'événements et examinez la nouvelle apparence de la console MMC (Microsoft® Management Console).
2.
Remarquez la vue résumée par défaut, puis développez les vues personnalisées et affichez les vues personnalisées par défaut.
3.
Développez les Journaux Windows et affichez les journaux traditionnels et les nouveaux.
4.
Ouvrez l'un des journaux et examinez les options disponibles dans le volet Actions. Remarquez également qu'il est possible de relier une tâche à un événement à l'aide de l'Assistant Créer une tâche de base. Il est également possible de copier les détails d'un événement sous forme de texte dans le Bloc-notes.
5.
Double-cliquez sur un événement pour afficher ses détails.
6.
Développez le dossier Microsoft Windows pour afficher les journaux.
7.
Vous pouvez également vous connecter à un autre ordinateur.
Rappel : la gestion des journaux d'événements à distance doit être activée dans le parefeu de l'ordinateur distant. L'utilisation du pare-feu fait partie du prochain atelier de cette leçon.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Vues personnalisées
Points clés Les vues personnalisées sont des filtres qui sont nommés et enregistrés. Une fois la vue personnalisée créée et enregistrée, vous êtes en mesure de la réutiliser sans avoir à recréer son filtre sous-jacent. Pour réutiliser une vue personnalisée, accédez à la catégorie Vues personnalisées dans l'arborescence de la console et sélectionnez le nom de la vue concernée. Ainsi, vous appliquez le filtre qui lui est associé et les résultats sont affichés. Vous pouvez importer et exporter les vues personnalisées, ce qui vous permet de les partager entre des utilisateurs et des ordinateurs.
Lectures complémentaires •
Création et gestion des vues personnalisées http://go.microsoft.com/fwlink/?LinkId=168452
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-14
13-15
Abonnements
Points clés Le composant logiciel enfichable Observateur d'événements vous permet de vous connecter à un ordinateur distant pour examiner ses journaux d'événements. Toutefois, résoudre efficacement un problème peut impliquer d'examiner les événements stockés dans plusieurs ordinateurs. Sous Windows Server 2008, l'Observateur d'événements vous permet de vous abonner à des événements spécifiques sur un ou plusieurs ordinateurs distants, de collecter ces événements et de les stocker localement. Après la création d'un abonnement à un événement, les événements sont transmis des ordinateurs source vers l'ordinateur chargé de la collecte, sur lequel il est alors possible d'afficher et de manipuler les événements comme s'il s'agissait d'événements locaux.
Lectures complémentaires •
Abonnements aux événements http://go.microsoft.com/fwlink/?LinkId=168453
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Démonstration : Configuration des vues personnalisées et des abonnements
Points clés Dans cette démonstration, votre instructeur va vous présenter certaines des fonctionnalités des Vues personnalisées et des Abonnements aux événements décrits dans la diapositive précédente. Il en profitera pour vous donner quelques conseils supplémentaires et pour vérifier que ces fonctionnalités n'ont plus de secret pour vous. Vous aurez la possibilité de mettre vous-même ces tâches en pratique dans l'atelier associé à ce module.
Étapes de la démonstration Création d'une vue personnalisée 1.
Nous allons créer une nouvelle vue personnalisée qui capture les événements d'erreur issus de journaux Active Directory spécifiques.
2.
Nous exporterons ensuite la vue dans un fichier XML.
3.
Nous supprimerons la vue personnalisée d'origine, puis importerons le fichier XML.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-16
13-17
Création d'un abonnement 1.
Pour cette opération, nous devons vérifier que nous sommes bien connectés à l'ensemble des ordinateurs source et collecteur en tant qu'administrateur.
2.
Dans chaque ordinateur source, tapez winrm quickconfig avec une invite de commande élevée.
3.
Dans l'ordinateur collecteur, tapez Wecutil qc avec une invite de commande élevée.
4.
Ajoutez le compte de l'ordinateur collecteur au groupe Administrateurs local dans chaque ordinateur source.
5.
Créez l'abonnement.
6.
Filtrez les événements pour n'afficher que les erreurs du journal système.
Lectures complémentaires •
Création d'une vue personnalisée http://go.microsoft.com/fwlink/?LinkId=99511
•
Configuration des ordinateurs pour la transmission et la collecte des événements http://go.microsoft.com/fwlink/?LinkId=99513
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Analyseur de fiabilité et de performances Windows (WRPM)
Points clés L'Analyseur de fiabilité et de performances Windows (WRPM) est une suite de composants logiciels enfichables nouveaux et améliorés qui améliorent considérablement votre capacité à surveiller le bon fonctionnement et les performances de vos serveurs Windows, de façon réactive et proactive. Le Moniteur de fiabilité surveille les modifications apportées au système, notamment les installations et les désinstallations de logiciels. L'Analyseur de performances génère des vues graphiques ou des rapports à partir des données de performances journalisées ou en temps réel. Les Ensembles de collecteurs de données et les Rapports vous permettent de gérer la collecte et de vérifier les données de performances. Vous découvrirez chacun de ces outils au cours de ce module et vous aurez vousmême la possibilité de les utiliser dans l'atelier associé à ce module.
Lectures complémentaires •
Analyseur de fiabilité et de performances Windows http://go.microsoft.com/fwlink/?LinkId=168454
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-18
13-19
Démonstration : Analyseur de ressources et de performances Windows (WRPM)
Points clés Dans cette démonstration, votre instructeur va vous présenter rapidement WRPM, de sorte que vous connaissiez les différents composants logiciels enfichables et nœuds de cette puissante suite d'outils d'administration.
Étapes de la démonstration 1.
Ouvrez le Moniteur de fiabilité et de performances.
2.
Examinez l'écran Vue d'ensemble des ressources. Développez certaines sections pour en afficher les détails.
3.
Ouvrez l'Analyseur de performances. Cette fonctionnalité n'a pas vraiment changé depuis Windows Server 2003.
4.
Ouvrez le Moniteur de fiabilité. Parcourez et examinez certains détails.
5.
Ouvrez les Rapports et remarquez les rapports système disponibles.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Analyseur de fiabilité
Points clés Le Moniteur de fiabilité permet d'examiner la stabilité du système et les événements et modifications qui affectent son intégrité globale. Il surveille l'installation et la désinstallation de logiciels et les défaillances de Windows, des applications et du matériel. Le Moniteur de fiabilité calcule un index de stabilité du système qui montre, sous forme graphique, si des problèmes inattendus ont réduit la fiabilité. Les informations fournies par le Rapport de stabilité du système associé permettent de voir si la baisse de fiabilité est due à des modifications spécifiques.
Lectures complémentaires •
Utilisation du Moniteur de fiabilité http://go.microsoft.com/fwlink/?LinkId=168455
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-20
13-21
Analyseur de performances
Points clés L'Analyseur de performances permet d'examiner les performances du système sous forme de graphiques ou de rapports. Alors que le Moniteur de ressources présente les performances associées aux composants du système (processeur, disque, mémoire et réseau), l'analyseur de performances permet d'examiner les performances de manière plus approfondie. Même pour les composants système, l'Analyseur de performances donne davantage d'informations : utilisation du disque par partition ou volume physique, utilisation du processeur par cœur et types spécifiques de paquets envoyés ou reçus, par exemple. L'Analyseur de performances propose également des compteurs pour les performances de nombreux composants, rôles, services et fonctionnalités plus granulaires. Pendant l'installation, les composants Windows peuvent enregistrer des compteurs de performances via l'Analyseur de performances. Par exemple, lorsque vous ajoutez le rôle AD DS à un serveur, l'objet performance NTDS (Service d'annuaire Windows NT) est enregistré et propose des douzaines de compteurs relatifs aux performances du service d'annuaire.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
L'Analyseur de performances vous permet de créer de façon interactive un ensemble de compteurs à surveiller en temps réel. Vous pouvez également enregistrer les compteurs dans l'Ensemble de collecteurs de données, réutilisable à tout moment pour consulter les performances en temps réel, ou que vous pouvez lancer ultérieurement pour enregistrer les performances dans un journal. Les compteurs les plus utiles pour surveiller un serveur, et qui peuvent révéler les engorgements des principaux composants système, sont les suivants : •
Mémoire \ Pages/sec
•
Disque physique \ Long. moy. de file d'attente du disque
•
Processeur \ % Temps processeur
Dans un contrôleur de domaine, vous devez au moins surveiller les compteurs de performances suivants, proposés par l'objet NTDS (Service d'annuaire Windows NT) : •
NTDS\ Nb total d'octets DRA entrants/seconde
•
NTDS\ Objets DRA entrants
•
NTDS\ Nb total d'octets DRA sortants/seconde
•
NTDS\ Nb de synchronisations de réplication DRA en attente
•
NTDS \ Authentifications Kerberos/s
•
NTDS\ Authentifications NTLM
Windows Server 2008 autorise les utilisateurs à consulter et à journaliser les performances sans qu'ils soient membres du groupe Administrateurs local. Pour permettre à un utilisateur non administrateur d'exploiter l'Analyseur de performances, ajoutez-le au groupe Utilisateurs du journal de performances. Le groupe Utilisateurs du journal de performances doit également être autorisé à ouvrir une session en tant que tâche, autorisation définie par défaut pour ce groupe.
Lectures complémentaires •
Utilisation de l'Analyseur de performances http://go.microsoft.com/fwlink/?LinkId=168456
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-22
13-23
Ensembles de collecteurs de données
Points clés Bien qu'il soit possible d'ajouter des compteurs dans une vue de l'Analyseur de performances de façon interactive, la répétition de cette opération devient vite ennuyeuse et, à long terme et sur plusieurs systèmes, difficile à gérer. De plus, d'autres sources d'informations que les compteurs de performances, telles que le suivi des événements et des paramètres du Registre, permettent de surveiller avec précision les performances et le bon fonctionnement d'un système. L'ensemble de collecteurs de données est la pierre angulaire des rapports et de l'analyse de WRPM. Un ensemble de collecteurs de données organise les compteurs de performances et les paramètres du Registre et présente ces données à partir d'un seul composant, utilisable ensuite pour consulter les performances en temps réel ou enregistrer les performances selon un planning ou un déclenchement manuel. L'ensemble de collecteurs de données et les informations enregistrées sont ensuite consultables sous forme de rapport ou peuvent être chargées dans l'Analyseur de performances ou l'une des différentes applications Microsoft ou autre. Les ensembles de collecteurs de données peuvent également être configurés pour générer des alertes lorsque certains seuils sont atteints, ou pour déclencher des actions WMI (Windows Management Instrumentation).
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Lectures complémentaires •
Création d'ensembles de collecteurs de données http://go.microsoft.com/fwlink/?LinkId=168457
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-24
13-25
Démonstration : Surveillance des services AD DS
Points clés Dans cette démonstration, votre instructeur va configurer un ensemble de collecteurs de données AD DS, en décrivant les concepts et les outils présentés à la diapositive précédente. Vous aurez la possibilité de revoir et de mettre en pratique des procédures similaires au cours de l'atelier de cette leçon.
Étapes de la démonstration Créez un nouvel ensemble de collecteurs de données nommé Active Directory personnalisé. 1.
Ajoutez les compteurs de base du serveur.
2.
Ajoutez certains compteurs Active Directory, puis démarrez l'Ensemble de collecteurs de données.
3.
Effectuez quelques opérations pour générer des statistiques. Par exemple, créez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
4.
Arrêtez l'Ensemble de collecteurs de données et examinez le rapport défini par l'utilisateur.
5.
Dans le conteneur système, démarrez l'Ensemble de collecteurs de données Diagnostics Active Directory.
6.
Effectuez quelques opérations pour générer des statistiques. Par exemple, créez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.
7.
Arrêtez l'Ensemble de collecteurs de données et examinez le rapport défini par le système.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-26
13-27
Recommandations en matière de surveillance
Points clés Pour élaborer une structure de surveillance efficace, respectez les directives suivantes : Surveillance en amont pour établir des références Il est essentiel de surveiller les performances pendant que le système fonctionne normalement. Vous pouvez ainsi établir des références et connaître les plages prévues des compteurs de performances. Pour obtenir des mesures de référence, surveillez les compteurs de performances pendant les périodes d'activité et d'inactivité. Surveillance fréquente pour détecter les problèmes potentiels Établissez une routine de surveillance régulière, éventuellement en planifiant des ensembles de collecteurs de données, et comparez les journaux et les rapports à vos mesures de référence. Recherchez les valeurs s'écartant inhabituellement des valeurs prévues de manière à détecter les problèmes potentiels avant qu'ils ne se manifestent dans votre service d'annuaire.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Surveillance et interprétation des performances avant l'apparition d'un engorgement Vous n'aurez pas le temps d'apprendre à collecter et à interpréter les compteurs de performances et les événements si vous attendez qu'un véritable problème survienne. Vous devez donc anticiper et prendre le temps d'apprendre à exploiter les outils et savoir quels les compteurs vous donnent les informations les plus significatives sur les performances dans votre entreprise. Définissez des ensembles de collecteurs de données qui simplifieront la collecte des performances en cas de crise et n'oubliez pas de les exporter pour les sauvegarder en cas de panne du système qui sert habituellement pour la surveillance. Collecte des données les plus pertinentes Ne poussez pas trop loin la surveillance. Si vous tentez de surveiller tous les compteurs, tous les suivis d'événements et toutes les entrées du Registre, vous allez créer un tel volume d'informations sur les performances qu'il vous sera difficile d'y repérer les vrais problèmes. De plus, la surveillance des performances dégrade légèrement les performances du système. Choisissez vos activités de surveillance en fonction des besoins de votre entreprise.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-28
13-29
Atelier pratique A : Surveillance des événements et des performances d'Active Directory
Scénario Le mois dernier, la panne du seul contrôleur de domaine de la succursale a entraîné la déconnexion du centre d'appels de Contoso pendant une journée entière et une perte importante de bénéfices. Vous avez été engagé pour remplacer l'administrateur qui avait configuré un emplacement sensible, sans surveillance ni redondance de l'authentification. Cette semaine, vous vous efforcez de configurer la surveillance afin d'être certain de pouvoir examiner en permanence les performances et la fiabilité et de déceler tout signe de problème.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 1 : Surveillance des performances en temps réel avec le Gestionnaire des tâches et le Moniteur de ressources Dans cet exercice, vous allez utiliser le Gestionnaire des tâches et le Moniteur de ressources pour examiner les performances générales en temps réel. Cela vous permettra d'identifier les engorgements et les processus ou services qui consomment trop de ressources système. Les tâches principales de cet exercice sont les suivantes : 1.
Préparer l'atelier pratique.
2.
Surveiller les performances en temps réel avec le Gestionnaire des tâches.
3.
Surveiller les performances en temps réel avec le Moniteur de ressources.
Tâche 1 : Préparation de l'atelier pratique •
Démarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
•
Exécutez D:\Labfiles\Lab13a\Lab13a_Setup.bat avec des droits administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd.
•
Le script d'installation de l'atelier s'exécute. Lorsqu'il est terminé, appuyez sur une touche quelconque.
•
Fermez la fenêtre de l'Explorateur Windows, Lab13a.
•
Démarrez 6238B-HQDC02-B.
•
Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
Tâche 2 : Surveillance des performances en temps réel avec le Gestionnaire des tâches 1.
Dans HQDC01, appuyez sur Ctrl+Maj+Échap pour lancer le Gestionnaire des tâches.
2.
Ouvrez l'onglet Processus et examinez les commandes disponibles lorsque vous cliquez du bouton droit sur taskmgr.exe. Examinez les propriétés d'un processus en ouvrant la boîte de dialogue Propriétés de taskmgr.exe.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-30
13-31
3.
Affichez les processus de tous les utilisateurs. Vous aurez pour cela besoin d'informations d'identification d'administration. Utilisez le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
4.
Dans l'onglet Services, arrêtez, puis démarrez le service Dnscache.
5.
Cliquez du bouton droit sur le service Dnscache et choisissez Aller dans le processus.
Question : Quel processus héberge le service Client DNS ? 6.
Cliquez du bouton droit sur le processus et choisissez Accéder aux services.
Question : L'onglet Services présente le sous-ensemble des fonctionnalités les plus utilisées d'un composant logiciel enfichable d'administration. Lequel ? 7.
Cliquez sur le bouton Services. La console Services s'affiche. Fermez la console Services.
8.
Ouvrez l'onglet Utilisateurs. Cet onglet présente les utilisateurs qui sont connectés en local (console) ou à distance au serveur.
9.
Ouvrez l'onglet Réseau. Cet onglet donne un aperçu des performances de chaque carte réseau disponible.
10. Ouvrez l'onglet Performances. Cet onglet donne un aperçu des performances de l'utilisation du processeur et de la mémoire. Question : Quel composant système majeur n'apparaît pas dans le Gestionnaire des tâches ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Tâche 3 : Surveillance des performances en temps réel avec le Moniteur de ressources 1.
Dans l'onglet Performances du Gestionnaire des tâches, cliquez sur le bouton Moniteur de ressources. Si le système vous demande des informations d'identification d'administration, utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Le Moniteur de ressources s'affiche. Agrandissez la fenêtre du Moniteur de ressources et fermez le Gestionnaire des tâches.
3.
Cliquez sur le graphique du Processeur. Quelle utilisation du processeur est générée par le Moniteur de fiabilité et de performances lui-même ?
4.
Cliquez de nouveau sur le graphique du Processeur. La section Processeur se réduit.
5.
Cliquez sur le graphique Disque. Quel fichier présente le plus d'activités de lecture ? Quel processus génère cette activité de lecture pour ce fichier ? Quel fichier présente le plus d'activités d'écriture ? Quel processus génère cette activité d'écriture pour ce fichier ? Pour afficher l'activité du fichier d'échange, cliquez sur le titre de la colonne Fichier. Si C:\pagefile.sys n'apparaît pas dans la liste, ouvrez une application telle que le Gestionnaire de serveur. Cette opération devrait générer une activité dans le fichier d'échange.
Question : Combien de processus lisent ou écrivent dans le fichier pagefile.sys ? Question : Quel composant système doit être augmenté lorsque l'activité de lecture et d'écriture du fichier d'échange est constamment élevée ? 6.
Fermez le Gestionnaire de ressources. Cliquez sur le bouton Démarrer et exécutez perfmon en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Les utilisateurs qui sont membres des groupes Utilisateurs de l'analyseur de performances, Utilisateurs du journal de performances et Administrateurs local, peuvent accéder à plus de fonctionnalités depuis WRPM. La Page d'accueil de la console est la Vue d'ensemble des ressources, qui correspond au Moniteur de ressources. Notez que l'arborescence de la console contient tous les composants logiciels enfichables WRPM. Fermez la fenêtre Moniteur de fiabilité et de performances.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-32
7.
13-33
Cliquez sur le bouton Démarrer et exécutez perfmon /res en tant qu'Administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Il s'agit là d'une autre manière d'ouvrir le Moniteur de ressources, que vous avez déjà ouvert à partir du Gestionnaire des tâches, et c'est la page d'accueil de la console Moniteur de fiabilité et de performances. Fermez le Moniteur de ressources. Résultats : Au terme de cet exercice, vous aurez exploité le Gestionnaire des tâches et le Moniteur de ressources pour surveiller en temps réel les performances des processus, des services et des composants d'un système, notamment le disque, la mémoire, le réseau et le processeur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 2 : Identification des événements de performances avec le Moniteur de fiabilité et l'Observateur d'événements Dans cet exercice, vous allez utiliser le Moniteur de fiabilité pour examiner les événements relatifs à la stabilité. Vous utiliserez ensuite l'Observateur d'événements pour identifier les événements liés aux performances et à la fiabilité et vous apprendrez à exploiter les vues personnalisées. Les tâches principales de cet exercice sont les suivantes : 1.
Surveiller les événements liés à la stabilité avec le Moniteur de fiabilité.
2.
Identifier les événements liés aux rôles avec le Gestionnaire de serveur.
3.
Analyser des journaux d'événements.
4.
Créer une vue personnalisée.
5.
Exporter une vue personnalisée.
6.
Importer une vue personnalisée.
Tâche 1 : Surveillance des événements liés à la stabilité avec le Moniteur de fiabilité 1.
Exécutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2.
Utilisez le Moniteur de fiabilité pour examiner les événements liés à la stabilité survenus le 9 septembre 2009.
Tâche 2 : Identification des événements liés aux rôles avec le Gestionnaire de serveur 1.
Dans la section Résumé des rôles du nœud racine du Gestionnaire de serveur, examinez les icônes qui s'affichent à côté des rôles ADDS et Serveur DNS.
2.
Cliquez sur le lien du rôle ADDS dans la section Résumé des rôles et examinez les informations de la section Événements.
3.
Cliquez sur le lien Filtrer les événements dans la section Événements et supprimez les événements Informations de la vue.
4.
Double-cliquez sur un événement pour afficher ses détails, examinez l'événement, puis fermez-le.
5.
Remarquez les informations affichées dans la section Services système.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-34
13-35
Tâche 3 : Examen des journaux d'événements 1.
Dans la section Résumé des événements d'administration de la racine du composant logiciel enfichable Observateur d'événements du Gestionnaire de serveur, développez le résumé des événements Erreur. Double-cliquez sur une ligne de résumé présentant la source ActiveDirectory.
2.
Si le résumé ne contient pas de ligne associée à la source ActiveDirectory, double-cliquez sur une autre ligne du résumé des événements Erreur. La vue des événements de la page Résumé s'ouvre dans le volet d'informations. Cette vue permet d'explorer les événements synthétisés dans la ligne du résumé des événements Erreur. Examinez les journaux des nœuds Journaux Windows et Journaux des applications et des services dans l'arborescence de la console. Examinez les événements de la vue Événements d'administration. Cliquez du bouton droit sur Événements d'administration et choisissez Propriétés. Notez que la Description indique que la vue présente les événements Critique, Erreur et Avertissement de tous les journaux d'administration. Cliquez sur le bouton Modifier le filtre et remarquez que cette vue personnalisée ne peut pas être modifiée. Elle est en Lecture seule. Remarquez également qu'il est difficile de savoir avec précision quels journaux sont inclus dans la liste Journaux d'événements. Les informations sont tronquées. Ouvrez l'onglet XML. Pouvezvous identifier les journaux inclus grâce aux informations de l'onglet XML ? Dans chaque élément XML Select, à quoi pensez-vous que Level fasse référence ? Cliquez à deux reprises sur Annuler pour fermer les boîtes de dialogue ouvertes.
Tâche 4 : Création d'une vue personnalisée •
Dans le dossier Vues personnalisées, créez une vue personnalisée qui affiche les messages Critique, Avertissement et Erreur des journaux suivants : Réplication DFS, Service d'annuaire et Serveur DNS. Nommez le journal Custom Directory Service Event View.
Tâche 5 : Exportation d'une vue personnalisée •
Exportez la vue Custom Directory Service Event View sous le nom de fichier D:\Data\DSEventView.xml.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Tâche 6 : Importation d'une vue personnalisée 1.
Dans HQDC02, importez la vue personnalisée \\HQDC01\Data\DSEventView.xml et nommez-la Custom Directory Service Event View.
2.
Le message Erreur de requête s'affiche car l'ordinateur HQDC02 n'est pas un serveur DNS et n'a donc pas de journal Serveur DNS. Cliquez sur OK. Résultats : Au terme de cet exercice, vous aurez identifié plusieurs emplacements du Gestionnaire de serveur dans lesquels sont affichés les événements liés aux rôles et aux performances des serveurs. Vous aurez également créé une vue personnalisée et l'aurez importée dans l'Observateur d'événements d'un autre ordinateur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-36
13-37
Exercice 3 : Surveillance des événements des ordinateurs distants via les abonnements aux événements Dans cet exercice, vous allez utiliser la nouvelle fonctionnalité de transfert d'événement et d'abonnement de Windows Server 2008 pour capturer les événements issus de systèmes distants pour la surveillance centralisée. Les tâches principales de cet exercice sont les suivantes : 1.
Configurer les ordinateurs pour le transfert et la collecte des événements.
2.
Créer un abonnement pour la collecte des événements.
3.
Générer des événements.
4.
Afficher des événements transmis.
Tâche 1 : Configuration des ordinateurs pour le transfert et la collecte des événements 1.
Dans HQDC01, exécutez l'invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez wecutil qc, appuyez sur Entrée, puis sur Y et de nouveau sur Entrée pour configurer la collecte des événements.
2.
Dans HQDC02, exécutez l'invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez winrm quickconfig, appuyez sur Entrée, puis sur Y, et de nouveau sur Entrée pour configurer la Gestion à distance de Windows.
Tâche 2 : Création d'un abonnement pour la collecte des événements 1.
Dans le composant logiciel enfichable Observateur d'événements du Gestionnaire de serveur de l'ordinateur HQDC01, créez un nouvel abonnement nommé DC Services qui collecte les événements de l'ordinateur HQDC02. Configurez l'abonnement pour qu'il collecte les événements du journal Système associé à l'ID d'événement 7036. L'abonnement doit utiliser le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Il doit être configuré sur Minimiser la latence. Si des messages de l'Observateur d'événements s'affichent à la fin de la configuration, cliquez sur Oui.
2.
Vérifiez que, dans le dossier Abonnements, l'état du nouvel abonnement DC Services indique Actif.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Tâche 3 : Génération d'événements •
Dans HQDC02, tapez net stop dfsr à l'invite de commande, appuyez sur Entrée, tapez ensuite net start dfsr et appuyez de nouveau sur Entrée.
Tâche 4 : Affichage des événements transmis 1.
Basculez vers HQDC01.
2.
Dans l'arborescence de la console du Gestionnaire de serveur, sous Observateur d'événements\Journaux Windows, cliquez sur Événements transmis. L'affichage des événements transmis peut prendre plusieurs minutes. Si les événements ne s'affichent pas immédiatement, patientez quelques minutes, démarrez et arrêtez le service Réplication du système de fichiers distribués (DFS) sur l'ordinateur HQDC02 et patientez encore quelques minutes. Résultats : Au terme de cet exercice, vous aurez configuré des abonnements pour afficher les événements provenant de l'ordinateur HQDC02 dans l'ordinateur HQDC01.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-38
13-39
Exercice 4 : Association de tâches aux journaux d'événements et aux événements Dans cet exercice, vous allez invoquer des tâches lorsqu'un journal d'événements est mis à jour ou lorsqu'un événement est généré. Les tâches principales de cet exercice sont les suivantes : 1.
Associer une tâche à un journal d'événements et à un événement.
2.
Préparer l'affichage des messages liés aux tâches de l'Observateur d'événements.
3.
Vérifier le bon fonctionnement des tâches de l'Observateur d'événements.
Tâche 1 : Association d'une tâche à un journal d'événements et à un événement 1.
Dans HQDC01, cliquez du bouton droit sur le journal d'événements Événements transmis et associez une tâche à ce journal. La tâche doit afficher un message portant le titre Forwarded Event Received (Événements transmis reçus) et le message A forwarded event was received (Un événement transmis a été reçu).
2.
Dans le journal d'événements Événements transmis, cliquez du bouton droit sur l'un des événements 7036 et associez-lui une tâche. La tâche doit afficher un message portant le titre DC Service Event (Événement du Service DC) et le message A service was started or stopped (Un service a été démarré ou arrêté).
Tâche 2 : Préparation de l'affichage des messages liés aux tâches de l'Observateur d'événements Lorsque vous choisissez d'afficher un message dans une tâche, comme les messages s'affichent sur le Bureau de l'utilisateur dont le compte a servi à créer la tâche de l'Observateur d'événements (Pat.Coleman_Admin), vous devez ouvrir une session de façon interactive avec le compte Pat.Coleman_Admin pour tirer pleinement parti de cette simulation. •
Fermez la session ouverte sur l'ordinateur HQDC01 et ouvrez une session avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Tâche 3 : Vérification du bon fonctionnement des tâches de l'Observateur d'événements 1.
Dans HQDC02, tapez net stop dfsr à l'invite de commande, appuyez sur Entrée, tapez ensuite net start dfsr et appuyez de nouveau sur Entrée.
2.
Dans HQDC01, attendez que les messages liés aux tâches de l'Observateur d'événements s'affichent. Résultats : Au terme de cet exercice, vous aurez configuré des tâches devant démarrer lors de la réception d'un événement dans le journal Événements transmis et lors du démarrage ou de l'arrêt d'un service sur un ordinateur distant.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-40
13-41
Exercice 5 : Surveillance des services AD DS à l'aide de l'Analyseur de performances Dans cet exercice, vous allez utiliser l'Analyseur de performances pour surveiller les performances en temps réel d'AD DS, enregistrer les compteurs de performances et afficher le journal des compteurs de performances enregistrés. Les tâches principales de cet exercice sont les suivantes : 1.
Configurer l'Analyseur de performances pour surveiller les services AD DS.
2.
Créer un Ensemble de collecteurs de données à partir des compteurs de l'Analyseur de performances.
3.
Démarrer un Ensemble de collecteurs de données.
4.
Afficher un rapport d'un Ensemble de collecteurs de données.
Tâche 1 : Configuration de l'Analyseur de performances pour surveiller les services AD DS 1.
Dans le Gestionnaire de serveur de l'ordinateur HQDC02, ouvrez le composant logiciel enfichable Analyseur de performances.
2.
Ajoutez les compteurs de performances suivants : •
Services d'annuaire\Nb total d'octets DRA entrants/seconde
•
Services d'annuaire\Nb total d'octets DRA sortants/seconde
•
Services d'annuaire\Nb de threads Active Directory utilisées
•
Services d'annuaire\Lectures Active Directory/sec
•
Services d'annuaire\Écritures Active Directory/sec
•
Services d'annuaire\Recherches Active Directory/sec
•
Statistiques de sécurité au niveau du système\Authentifications Kerberos
•
DNS\Requêtes UDP reçues/seconde
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
3.
Examinez les performances pendant un moment. Ensuite, dans la liste des compteurs situés sous le graphique, sélectionnez Requêtes UDP reçues/seconde. Cliquez sur le bouton Surbrillance de la barre d'outils pour mettre ce compteur en évidence dans le graphique. Cliquez de nouveau sur le bouton Surbrillance de la barre d'outils pour désactiver la mise en évidence.
4.
Prenez le temps d'explorer les fonctionnalités de l'Analyseur de performances. Toutefois, n'ajoutez pas et ne supprimez pas de compteurs.
Tâche 2 : Création d'un Ensemble de collecteurs de données à partir des compteurs de l'Analyseur de performances •
Créez un nouvel ensemble de collecteurs de données à partir de la vue actuelle de l'Analyseur de performances. Nommez cet ensemble Custom ADDS Performance Counters (Compteurs de performances AD DS personnalisés). Prenez note du répertoire racine par défaut dans lequel l'ensemble de collecteurs de données sera enregistré.
Tâche 3 : Démarrage d'un Ensemble de collecteurs de données 1.
Cliquez sur le nœud Ensembles de collecteurs de données\Définis par l'utilisateur, cliquez du bouton droit sur Custom ADDS Performance Counters et choisissez Démarrer.
2.
Le nœud Custom ADDS Performance Counters est automatiquement sélectionné. Vous pouvez identifier les différents collecteurs de données individuels de l'ensemble de collecteurs de données. Dans ce cas, un seul collecteur de données (les compteurs de performances Journal de Moniteur système) s'affiche dans l'ensemble de collecteurs de données. Vous pouvez également voir où le résultat du collecteur de données est enregistré.
3.
Dans l'arborescence de la console, cliquez du bouton droit sur l'ensemble de collecteurs de données Custom ADDS Performance Counters et choisissez Arrêter.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-42
13-43
Tâche 4 : Affichage d'un rapport d'un Ensemble de collecteurs de données •
Dans l'arborescence de la console, développez Custom ADDS Performance Counters, puis cliquez sur System Monitor Log.blg. Le graphique des compteurs de performances du journal s'affiche. Résultats : Au terme de cet exercice, vous aurez créé un Ensemble de collecteurs de données, autorisé son exécution et affiché ses données.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Exercice 6 : Utilisation des Ensembles de collecteurs de données Dans cet exercice, vous allez examiner et exécuter un ensemble de collecteurs de données prédéfini lors de l'ajout du rôle AD DS à un serveur. Vous allez ensuite créer un ensemble de collecteurs de données personnalisé, configurer son planning et ses stratégies de gestion des données, l'exécuter et en examiner le contenu. Les tâches principales de cet exercice sont les suivantes : 1.
Analyser un ensemble de collecteurs de données prédéfini.
2.
Créer un ensemble de collecteurs de données.
3.
Configurer des conditions de démarrage d'un ensemble de collecteurs de données.
4.
Configurer des conditions d'arrêt d'un ensemble de collecteurs de données.
5.
Configurer la gestion des données d'un collecteur.
6.
Afficher les résultats de la collecte des données.
Tâche 1 : Examen d'un ensemble de collecteurs de données prédéfini 1.
Sélectionnez l'ensemble de collecteurs de données Diagnostic Active Directory sous Fiabilité et performances\Ensembles de collecteurs de données\Système. Notez les collecteurs de données faisant partie de l'Ensemble de collecteurs de données.
2.
Démarrez l'ensemble de collecteurs de données.
3.
Développez successivement Rapports, Système et Diagnostic Active Directory, puis cliquez sur le rapport. L'État du rapport indique que les données sont collectées pendant 300 secondes (cinq minutes). Attendez cinq minutes, ou au moins une, puis cliquez du bouton droit sur Diagnostic Active Directory sous Ensembles de collecteurs de données\Système et choisissez Arrêter.
4.
Prenez le temps d'examiner les différentes sections du rapport. Cliquez du bouton droit sur le rapport et, à l'aide du menu Affichage, examinez les vues Analyseur de performances, Rapport et Dossier.
5.
Dans le volet d'informations de la vue Dossier, double-cliquez sur Compteur de performances. Une nouvelle instance de WRPM s'ouvre pour afficher le journal. Il est possible que la nouvelle instance soit réduite, auquel cas vous pouvez la ramener au premier plan en cliquant sur son bouton dans la barre des tâches. Examinez la fenêtre, puis fermez WPRM.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-44
6.
13-45
Dans l'arborescence de la console du Gestionnaire de serveur, sélectionnez le nœud Analyseur de performances. Cliquez sur le bouton Afficher les données du journal et configurez la source de l'Analyseur de performances sur C:\PerfLogs\ADDS\rapport\Compteur de performances, où rapport correspond au nom du rapport que vous venez de générer. Notez qu'aucun compteur ne s'affiche immédiatement. Cliquez sur le bouton Ajouter un compteur et ajoutez les compteurs d'objets des services d'annuaire suivants à l'affichage : Lectures Active Directory/sec, Recherches Active Directory/sec et Écritures Active Directory/sec.
Tâche 2 : Création d'un ensemble de collecteurs de données 1.
Dans l'arborescence de la console du Gestionnaire de serveur, sélectionnez le nœud Défini par l'utilisateur situé sous Ensembles de collecteurs de données.
2.
Créez un nouvel ensemble de collecteurs de données nommé Custom ADDS Diagnostics en utilisant l'ensemble de collecteurs de données Diagnostic Active Directory comme modèle. Enregistrez le nouvel ensemble de collecteurs de données dans le dossier C:\ADDS Data Collector Sets. Exécutez cet ensemble avec le nom d'utilisateur CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans un environnement de production, le compte que vous utilisez doit être un compte de domaine unique. Il doit être membre du groupe Utilisateurs du journal de performances et doit être autorisé à ouvrir une session en tant que tâche. Le groupe Utilisateurs du journal de performances disposant par défaut de cette autorisation, il vous suffit de créer un compte de domaine et d'en faire un membre de ce groupe.
Tâche 3 : Configuration des conditions de démarrage d'un ensemble de collecteurs de données •
Configurez le planning du nouvel ensemble de collecteurs de données pour qu'il commence le jour même et arrive à expiration dans une semaine. Configurez l'heure de début pour qu'elle commence dans cinq minutes. Prenez note de l'heure de début que vous configurez. Lorsque vous êtes invité à saisir les informations d'identification à associer à l'exécution de la tâche planifiée, utilisez le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Tâche 4 : Configuration des conditions d'arrêt d'un ensemble de collecteurs de données •
Configurez la Condition d'arrêt de la tâche sur une durée globale de deux minutes. Dans un environnement de production, vous exécuteriez probablement le collecteur de données pendant plus longtemps. Sélectionnez l'option Arrêter lorsque tous les collecteurs de données ont terminé.
Tâche 5 : Configuration de la gestion des données d'un collecteur •
Configurez la stratégie des ressources du gestionnaire de données de sorte qu'il supprime les éléments les plus anciens et qu'il copie tous les jours les fichiers .cab dans \\hqdc01\ADDS_Diag_Reports. Vérifiez que les options Créer un fichier cab et Supprimer les fichiers de données sont sélectionnées. Lorsque vous êtes invité à saisir les informations d'identification à associer à l'exécution de la tâche planifiée, utilisez le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tâche 6 : Affichage des résultats de la collecte des données 1.
Attendez que l'heure que vous avez configurée pour démarrer l'ensemble de collecteurs de données soit passée. Sélectionnez le rapport situé sous Rapports\Défini par l'utilisateur\Custom ADDS Diagnostics et notez que l'État du rapport indique que les données sont collectées pendant 120 secondes (deux minutes). Lorsque la collecte des données est terminée, l'État du rapport indique que la génération du rapport est en cours. Prenez le temps d'examiner le rapport.
2.
Cliquez du bouton droit sur le rapport dans l'arborescence de la console, pointez sur Affichage et choisissez Dossier. Dans le volet d'informations, double-cliquez sur Compteur de performances. Une nouvelle instance du Moniteur de fiabilité et de performances s'ouvre, l'Analyseur de performances affichant les données enregistrées dans le journal Compteur de performances. Prenez le temps d'examiner le graphique des performances, puis fermez la fenêtre. Résultats : Au terme de cet exercice, vous aurez examiné un ensemble de collecteurs de données prédéfini, créé un ensemble de collecteurs de données personnalisé, exécuté cet ensemble selon le planning et affiché ses résultats.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-46
13-47
Remarque : n'éteignez pas les ordinateurs virtuels à la fin de cet atelier pratique car les paramètres que vous avez configurés ici seront utilisés dans les ateliers suivants de ce module.
Questions de contrôle des acquis Question : Dans quelles situations utilisez-vous actuellement, ou envisagez-vous d'utiliser, les abonnements aux événements comme outil de surveillance ? Question : À quels événements ou compteurs de performances envisagez-vous d'associer des actions ou des notifications électroniques ? Utilisez-vous actuellement des notifications ou des actions dans le cadre de la surveillance de votre environnement ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Leçon 2
Gestion de la base de données Active Directory
Au Module 1, vous avez appris qu'en définitive Active Directory était une base de données prise en charge par un certain nombre de services. La gestion de la base de données Active Directory est quasiment automatique. Toutefois, la maintenance de ses fichiers eux-mêmes est parfois nécessaire. Dans cette leçon, vous allez apprendre à effectuer la maintenance de la base de données Active Directory et aussi à récupérer un objet supprimé accidentellement.
Objectifs À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes : •
décrire les composants et les fonctionnalités des fichiers de la base de données Active Directory ;
•
utiliser NTDSUtil pour exécuter des tâches de maintenance de la base de données Active Directory, notamment la défragmentation hors connexion ;
•
créer et monter des instantanés d'Active Directory ;
•
récupérer un utilisateur supprimé.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-48
13-49
Fichiers de la base de données Active Directory
Points clés La base de données Active Directory est stockée dans un fichier nommé NTDS.dit dont vous pouvez définir l'emplacement lors de l'installation et de la configuration d'AD DS. L'emplacement par défaut est %SystemRoot%\NTDS. Le fichier NTDS.dit contient toutes les partitions hébergées par le contrôleur de domaine : le schéma et la configuration de la forêt, le contexte de noms de domaine et (selon la configuration du serveur) le jeu d'attributs partiel et les partitions de l'annuaire d'applications. Le dossier NTDS contient d'autres fichiers qui prennent en charge la base de données Active Directory. Le fichier Edb.log est le journal des transactions d'Active Directory. Lorsque l'annuaire doit être modifié, la modification est d'abord écrite dans ce fichier journal. Cette modification est ensuite validée dans l'annuaire en tant que transaction. Si la transaction échoue, la modification peut être annulée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Ce processus est illustré dans la diapositive suivante :
Lorsque le système fonctionne normalement, le journal des transactions fonctionne de façon circulaire, les nouvelles transactions remplaçant les anciennes déjà validées. Toutefois, lorsqu'un grand nombre de transactions interviennent pendant une brève période, Active Directory crée des journaux de transactions supplémentaires. Plusieurs fichiers EDB*.log peuvent donc s'afficher dans le dossier NTDS d'un contrôleur de domaine particulièrement sollicité. Avec le temps, ces fichiers sont automatiquement supprimés. Le fichier EDB.chk joue le rôle de signet dans les journaux, en marquant le point avant lequel les transactions ont bien été validées dans la base de données et après lequel les transactions doivent encore l'être.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-50
13-51
Le fait que l'espace disque devienne insuffisant sur un lecteur est très problématique pour le serveur. Ce problème est encore plus important lorsque ce disque héberge la base de données Active Directory car les éventuelles transactions en cours ne peuvent pas être inscrites dans les journaux. Par conséquent, Active Directory gère deux fichiers journaux supplémentaires, edbres0001.jrs et edbres0002.jrs. Ces fichiers sont vides et font 10 Mo chacun. Lorsque l'espace d'un disque devient insuffisant pour les journaux de transactions normaux, Active Directory récupère l'espace occupé par ces deux fichiers pour poursuivre l'écriture des transactions. Bien évidemment, il est très important que l'administrateur résolve aussi vite que possible le problème d'espace disque. Le fichier fournit simplement une solution temporaire pour éviter que le service d'annuaire ne refuse les nouvelles transactions.
Lectures complémentaires •
Fonctionnement du magasin de données (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=101077
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
NTDSUtil
Points clés Dans les modules précédents, vous avez utilisé la commande NTDSUtil pour exécuter des actions sur le service d'annuaire. Au Module 11, la commande a été utilisée pour capter des rôles de maître d'opérations. Dans ce module, vous allez utiliser la commande pour effectuer la maintenance de la base de données, notamment pour créer des instantanés, effectuer une défragmentation hors connexion et relocaliser les fichiers de la base de données. La commande NTDSUtil permet également de nettoyer les métadonnées d'un contrôleur de domaine. Lorsqu'un contrôleur de domaine est rétrogradé (retiré du domaine) alors qu'il est hors connexion, il ne peut pas supprimer d'importantes informations dans le service d'annuaire. Vous pouvez dans ce cas utiliser la commande NTDSUtil pour nettoyer les restes du contrôleur de domaine, et cette opération est extrêmement importante. Enfin, la commande NTDSUtil peut réinitialiser le mot de passe utilisé pour ouvrir une session de Restauration des services d'annuaire (DSRM). Ce mot de passe est initialement défini pendant la configuration d'un contrôleur de domaine. Si vous oubliez ce mot de passe, la commande ntds set dsrm permet de le réinitialiser.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-52
Lectures complémentaires •
Outils et paramètres du magasin de données (éventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=101078
•
Suppression de données dans Active Directory après l'échec de la rétrogradation d'un contrôleur de domaine http://go.microsoft.com/fwlink/?LinkId=168459
13-53
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Maintenance de la base de données
Points clés La gestion de la base de données Active Directory est quasiment automatique. Par défaut, toutes les 12 heures, chaque contrôleur de domaine exécute un processus appelé nettoyage de la mémoire. Ce nettoyage de la mémoire effectue deux opérations. D'abord, il efface les objets supprimés dont la durée de vie est dépassée. Lorsqu'un objet est supprimé, il est placé dans le conteneur Objets supprimés et débarrassé de la quasi-totalité de ses attributs. L'objet demeure dans le service d'annuaire pour la période définie par sa durée de vie de désactivation, par défaut 180 jours sous Windows Server 2008. L'entreprise peut ainsi réactiver ou restaurer l'objet à l'aide des procédures que vous allez découvrir dans la suite de cette leçon. Dès que la durée de vie est écoulée, le nettoyage de la mémoire définit la ligne de l'objet sur zéro dans la base de données. Lorsque des objets sont supprimés, les lignes définies sur zéro créent un type de fragmentation susceptible d'affecter les performances. Le processus de nettoyage de la mémoire réorganise les lignes de la base de données pour placer les lignes vides de façon contiguë, une opération très proche de la réorganisation des secteurs d'un disque lors d'une défragmentation. Ce processus, appelé défragmentation en ligne, ne réduit pas la taille des fichiers de la base de données, mais optimise l'ordre interne de celle-ci.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-54
13-55
Dans la plupart des environnements, cette opération est suffisante. Toutefois, il peut être nécessaire de réduire la taille du fichier NTDS.dit dans les organisations qui suppriment un grand nombre d'objets de l'annuaire. Pour ce faire, vous devez exécuter une défragmentation hors connexion avec la commande NTDSUtil. Les procédures requises sont traitées dans la suite de cette leçon. Dans les versions précédentes de Windows, les contrôleurs de domaine plaçaient un verrou sur la base de données Active Directory. Pour effectuer la maintenance de la base de données, vous devez redémarrer le serveur dans la Restauration des services d'annuaire. Sous Windows Server 2008, l'architecture d'AD DS a été conçue sous forme de service et, comme n'importe quel autre service, peut être arrêté ou démarré à la demande depuis le composant logiciel enfichable Services. À présent, pour effectuer une défragmentation hors connexion, il vous suffit d'arrêter le service AD DS, d'effectuer la maintenance, puis de redémarrer le service.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Démonstration : Maintenance de la base de données AD DS
Points clés Dans cette démonstration, votre instructeur va vous montrer comment arrêter et démarrer le service AD DS et vous apprendre à compresser la base de données et à déplacer ses fichiers vers un autre volume. Ces procédures sont disponibles dans le Corrigé de l'atelier pratique de ce module. Vous aurez la possibilité de mettre la plupart de ces procédures en pratique au cours de l'atelier.
Étapes de la démonstration Pour arrêter le service AD DS : •
Ouvrez la console Services, cliquez du bouton droit sur Services de domaine Active Directory et choisissez Arrêter dans le menu contextuel.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-56
13-57
Pour effectuer une défragmentation hors connexion de la base de données Active Directory pendant que les Services AD DS sont à l'état arrêté : 1.
Dans la fenêtre de commande, tapez ntdsutil et appuyez sur Entrée.
2.
À l'invite de commande ntdsutil, tapez Activate Instance NTDS et appuyez sur Entrée.
3.
À l'invite de commande ntdsutil:, tapez files et appuyez sur Entrée.
4.
À l'invite file maintenance:, tapez compact to drive:\ LocalDirectoryPath (où drive:\ LocalDirectoryPath correspond au chemin d'accès d'un l'emplacement dans l'ordinateur local). Après un court instant, appuyez sur CTRL+C pour interrompre le processus. Ce processus peut durer un certain temps.
5.
Lorsque le processus se termine de lui-même, vous devez copier le fichier NTDS.dit dans un emplacement de sauvegarde, de même que les journaux (*.log), puis supprimer ces derniers (*.log).
6.
Pour finir, il est recommandé de vérifier l'intégrité de la base de données qui vient d'être compactée. Pour ce faire, tapez "integrity". Ce processus, comme la compression, prend un certain temps. Appuyez sur CTRL+C à tout moment pour interrompre le processus et passer à la suite de la démonstration.
Pour déplacer la base de données AD DS : 1.
Dans la fenêtre de l'invite de commande file maintenance, tapez move db to pathname. Comme précédemment, nous n'allons pas attendre la fin de ce processus.
2.
Appuyez sur CTRL+C pour interrompre le processus. Sachez que, si nous avions attendu que le processus aille à son terme, le fichier NTDS.dit aurait été déplacé vers le nouvel emplacement et les autorisations auraient été définies en conséquence.
Enfin, redémarrez AD DS : •
Dans la console MMC des services, cliquez du bouton droit sur Services de domaine Active Directory et choisissez Démarrer.
Bravo, vous avez terminé !
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
Question : Pourquoi est-il nécessaire d'arrêter les services AD DS avant la défragmentation ? Question : Pourquoi est-il nécessaire de commencer par compacter la base de données dans un répertoire temporaire ?
Lectures complémentaires •
Compactage du fichier de base de données d'annuaire (défragmentation hors connexion) http://go.microsoft.com/fwlink/?LinkId=101083
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-58
13-59
Instantanés d'Active Directory
Points clés La commande NTDSUtil de Windows Server 2008 permet de créer et de monter des instantanés d'Active Directory. Un instantané est une forme de sauvegarde de l'historique ; elle capture l'état exact du service d'annuaire au moment de l'instantané Contrairement à une sauvegarde, un instantané ne peut pas servir à restaurer des données. Vous pouvez cependant employer des outils pour explorer le contenu de l'instantané et examiner l'état du service d'annuaire tel qu'il était au moment de la création de l'instantané. Pour créer un instantané : 1.
Ouvrez une invite de commande élevée.
2.
Tapez ntdsutil et appuyez sur Entrée.
3.
Tapez snapshot, puis appuyez sur Entrée.
4.
Tapez activate instance ntds et appuyez sur Entrée.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Continuité du service d'annuaire
Configuration et résolution des problèmes des services de domaine Active Directory® Windows Server® 2008
5.
Tapez create et appuyez sur Entrée. La commande renvoie un message qui indique que l'ensemble d'instantanés a bien été généré. L'identificateur global unique (GUID) qui s'affiche est important pour les commandes des tâches ultérieures. Notez le GUID ou copiez-le dans le Pressepapiers.
6.
Tapez quit, puis appuyez sur Entrée.
Il est recommandé de planifier des instantanés réguliers d'Active Directory. Vous pouvez utiliser le Planificateur de tâches pour exécuter un fichier de commandes avec les commandes NTDSUtil appropriées. Pour afficher le contenu d'un instantané, vous devez monter ce dernier en tant que nouvelle instance d'AD DS. Cette opération est effectuée via NTDSUtil. Pour monter un instantané : 1.
Ouvrez une invite de commande élevée.
2.
Tapez ntdsutil et appuyez sur Entrée.
3.
Tapez activate instance ntds et appuyez sur Entrée.
4.
Tapez snapshot, puis appuyez sur Entrée.
5.
Tapez list all, puis appuyez sur Entrée. La commande récupère la liste de tous les instantanés.
6.
Tapez mount {GUID}, où GUID correspond à l'identifiant GUID renvoyé par la commande create snapshot, puis appuyez sur Entrée.
7.
Tapez quit, puis appuyez sur Entrée.
8.
Tapez quit, puis appuyez sur Entrée.
9.
Tapez dsamain -dbpath c:\$snap_dateheure_volumec$\windows\ntds \ntds.dit -ldapport 50000, puis appuyez sur Entrée. Le numéro de port, 50000, peut être tout numéro de port TCP ouvert et unique. Un message indique que le démarrage des services AD DS est terminé.
10. Ne fermez pas la fenêtre d'invite de commandes, laissez s'exécuter la commande que vous venez de saisir (Dsamain.exe), et passez à l'étape suivante. Dès que l'instantané a été monté, vous pouvez utiliser des outils pour vous y connecter et l'explorer. Même la console Utilisateurs et ordinateurs Active Directory permet de se connecter à l'instance.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
13-60
13-61
Pour vous connecter à un instantané avec Utilisateurs et ordinateurs Active Directory : 1.
Ouvrez Utilisateurs et ordinateurs Active Directory.
2.
Cliquez du bouton droit sur le nœud racine et choisissez Modifier le contrôleur de domaine. La boîte de dialogue Changer de serveur d'annuaire s'affiche.
3.
Cliquez sur
View more...
Comments
