Configurer une approbation entre forêt avec Windows 2003

doivent être mises au niveau fonctionnel
de forêt de Windows 2003.
Pour plus d’informations sur ces niveaux
fonctionnels, voir « What’s New
and What’s Improved in Windows .NET
Server ? », http://www.itpro.fr Club
Abonnés.
Ensuite, les domaines racine des
deux forêts doivent être capables de se
trouver par l’intermédiaire de DNS. Si
l’on est dans un intranet d’entreprise
et si les deux forêts sont intégrées dans
le DNS de l’entreprise, les domaines racine
des forêts peuvent probablement
déjà  se trouver mutuellement. Pour
vous en assurer, ouvrez une invite de
commande à  partir d’un serveur dans
une forêt et exécutez Nslookup. Entrez
set type=ns
puis entrez le Fully
Qualified Domain Name
(FQDN – par exemple, forestb.
mycompany.com) du domaine racine de
l’autre forêt. Si le serveur
peut résoudre le FQDN,
Nslookup renverra une
liste des DC qui ont autorité
pour ce domaine.
Si vous ne pouvez pas
résoudre l’autre forêt au
moyen de votre configuration
DNS existante, il vous
faudra configurer la retransmission
DNS conditionnelle
pour tous les serveurs
DNS dans chaque
forêt. Ajoutez un ou plusieurs
retransmetteurs
pour le domaine racine
d’une forêt à  l’autre forêt,
et vice-versa. Un serveur
retransmetteur dit au serveur DNS local
que quand le serveur DNS reçoit
une requête pour un certain domaine,
le serveur DNS devrait transmettre la
requête à  une adresse IP spécifique.
Supposons que vous vouliez joindre
ForestA.com et ForestB.com avec une
approbation entre forêts. Dans le snapin
DNS de Microsoft Management
Console (MMC), faites un clic droit sur
un serveur DNS qui a autorité pour
Forest A et sélectionnez Properties.
Sélectionnez l’onglet Forwarders et entrez
les adresses IP pour les serveurs
DNS auxquels vous voulez retransmettre
les requêtes pour Forest B,
comme le montre la figure 3. Répétez
cette opération dans Forest B pour
résoudre les requêtes concernant
Forest A.
Rappelons que le fait d’utiliser des
serveurs de retransmission pour résoudre
des requêtes pour des forêts
(et, par exemple, les approbations
entre les forêts) dépend des adresses
IP des retransmetteurs que vous avez
entrées manuellement. Si certaines
des adresses changent et si vous ne
mettez pas à  jour votre table de retransmetteurs
sur tous vos serveurs
DNS, vos approbations risquent
d’échouer.
d’échouer.
Une fois que vous pouvez résoudre
l’une ou l’autre des forêts, utilisez New
Trust Wizard du snap-in MMC Active
Directory Domains and Trusts pour
établir le type d’approbation souhaité.
Voyons comment établir une approbation
bidirectionnelle entre des forêts.
Sélectionnez Active Directory Domains
and Trusts dans le menu
Administrative Tools ou entrez

domain.msc

à  l’invite Run ou à  partir d’une ligne de
commande. Faites un clic droit sur le
domaine racine, sélectionnez Properties,
et sélectionnez la feuille de
propriétés Trusts. Sélectionnez New
Trusts pour lancer le New Trust Wizard.
Le New Trust Wizard est nouveau
dans Windows 2003. Ce wizard vous
guide au travers de la myriade des
types d’approbations que vous pouvez
créer, avec quatre types de cibles – un
domaine Windows 2003 ou Win2K, un
domaine NT 4.0, un royaume Kerberos
5.0 et une autre forêt. La fonction Help
du wizard donne des informations
13 www.itpro.fr
Figure 7 : Un ACL pour une ressource dans Forest
A auquel vous avez ajouté un utilisateur provenant
de Forest B
supplémentaires sur les trusts, les niveaux
fonctionnels, et les UPN (user
principal names).
Bien que vous utilisiez un wizard
pour établir l’opération approbation,
faites très attention à  la manière dont
vous établissez l’approbation et examinez
l’écran de confirmation avant
d’établir l’approbation. Il existe de
nombreuses possibilités pour établir
des approbations et le wizard ne recommandera
aucun type en particulier.
Si vous commettez une erreur,
vous n’obtiendrez pas une approbation
entre forêts – et souvent le seul
moyen de s’en apercevoir est que le
type d’approbation résultant est external
plutôt que forest. Ainsi, si vous
choisissez les propriétés d’un domaine
enfant plutôt que les propriétés du domaine
racine, l’établissement d’une approbation
entre forêts ne sera pas une
possibilité – mais son absence n’est pas
évidente.
La première étape dans le New
Trust Wizard consiste à  entrer le nom
DNS ou NetBIOS pour la forêt avec laquelle
vous voulez établir l’approbation.
Si vous avez couvert toutes les
étapes correctement jusqu’ici, la prochaine
boîte de dialogue vous demandera
de sélectionner External trust ou
Forest trust, comme le montre la figure
4. Si l’option forest trust n’apparaît pas,
revenez à  la première page du wizard
et utilisez le bouton Help pour trouver
ce qui ne va pas.
Pour notre exemple, nous établirons
une approbation bidirectionnelle.
Comme le montre la figure 5, le New
Trust Wizard permet de créer les deux
approbations unidirectionnelles qui
constituent une approbation bidirectionnelle
directement à  partir du wizard
à  la condition d’avoir des privilèges
administratifs dans l’autre forêt.
Les deux boîtes de dialogue suivantes
permettent de choisir si vous
voulez que tous les utilisateurs dans la
forêt cible soient authentifiés automatiquement
quand ils tentent d’accéder
à  une ressource dans la forêt locale, et
réciproquement.
Si vous sélectionnez Allow authentication
only for selected resources in
the local forest, comme le montre la figure
6, Windows 2003 n’ajoutera pas
automatiquement l’Authenticated
User SID de la forêt trusting au jeton
de l’utilisateur de la forêt trusted ; vous
devez octroyer l’accès individuel aux
ressources. Cette fonction est appelée
authentification sélective. L’authentification
sélective est plus sûre que
d’autoriser l’authentification pour les
utilisateurs des deux forêts, mais elle
alourdit le travail administratif parce
que vous devez accorder explicitement
l’accès à  chaque domaine et serveur
que vous voulez mettre à  disposition
des utilisateurs de l’autre forêt.
La boîte de dialogue Trust Selections
Complete permet de revoir vos
sélections avant de les exécuter. Après
avoir créé l’approbation, vous verrez
une boîte de dialogue Trust Creation
Complete. Les dernières étapes du wizard
proposent une autre fonction
utile. Comme vous avez déjà  fourni les
références distantes de l’autre forêt,
vous pouvez confirmer les deux côtés
de la relation d’approbation sans couvrir
les étapes supplémentaires. Quand
vous aurez correctement terminé l’approbation
entre forêts et que l’assistant
se fermera, la feuille de propriétés
Trusts montrera forest sous type d’approbation
plutôt que simplement enfant
ou externe.
Si la mise en oeuvre d’une approbation
entre forêt est plutôt simple et directe,
les conséquences d’une erreur
éventuelle peuvent être graves quand
on travaille dans un niveau multi forêts.
Soyez donc très prudents dans la
mise en oeuvre : avant de commencer,
étudiez les meilleures pratiques d’implémentation.