> Tech > Le processus Adprep

Le processus Adprep

Tech - Par Sean Deuby - Publié le 24 juin 2010
email

Vos premiers pas vers une infrastructure d’AD Windows 2003

Nous avons tous beaucoup entendu parler de Windows Server 2003 et des avantages qu’il présente pour l’infrastructure AD (Active Directory). Si vous avez jeté un coup d’oeil à sa documentation, vous avez probablement constaté que le passage de Windows 2000 à DC (domain controller) Windows 2003 s’effectue très simplement ...Mais il faut aussi savoir qu’avant de pouvoir passer à une infrastructure d’AD Windows 2003, il faut, avec l’utilitaire Adprep, préparer votre schéma et votre structure de forêts d’AD Win2K.
Le processus Adprep est simple et direct. Il comporte deux options : Forestprep, que l’on exécute une fois pour la forêt, et Domainprep, que l’on exécute une fois dans chaque domaine. Bien que l’exécution du processus ne soit pas très longue, vous devez être sûrs d’avoir bien compris les prérequis de l’utilitaire et d’avoir prévu ses effets, parce que Adprep a un impact permanent sur toute la forêt.

Comme pour tout changement de système
important, il est bon de consulter
la Microsoft Knowledge Base pour
y trouver des informations sur Adprep
absentes de la documentation du produit.
Par exemple, l’article Microsoft
« Hotfixes to Install on Windows 2000
Domain Controllers Before Running
Adprep/Forestprep » (http://support.
microsoft.com/?kbid= 331161)
donne le détail du niveau de pack de
service et des correctifs à  installer
avant de mettre l’utilitaire au travail.
Vous devriez avoir au moins Win2K
SP2 (Service Pack 2) installé sur vos
DC. Si vous avez beaucoup de DC ou
une grande base de données AD (l’article
ne définit pas l’article grande),
vous devez installer SP3 parce qu’il
contient un correctif qui fait de l’indexation
pour de nouveaux attributs,
une opération de peu d’influence sur
la performance d’un DC. Comme SP4
est le pack de service courant, cette
exigence ne devrait pas poser de problème.
La mise à  niveau du schéma est un
processus bien compris avec peu de
défaillances, mais il est aussi irréversible.
Une fois que l’on a exécuté
Forestprep et que ses changements se sont répliqués dans votre forêt, le seul
moyen de revenir en arrière passe par
une restauration autoritaire de toute
l’infrastructure d’AD. Avant de procéder
à  une vaste mise à  niveau de
schéma, assurez-vous que l’infrastructure
d’AD est en bon état. Vous devriez
avoir des sauvegardes de l’état du système
d’au moins deux DC dans chaque
domaine, et vous devriez avoir testé les
restaurations de sauvegarde. Si vous
avez une grande base de données AD
(C :\%systemroot%\ntds \ntds.dit),
vous devriez avoir des sauvegardes de
chaque DC ; une restauration à  partir
d’une bande est plus rapide que répliquer
et reconstruire la base de données.
L’article Microsoft « How to
Upgrade Windows 2000 Domain
Controllers to Windows Server 2003 »
(http://support.microsoft.com/
?kbid=325379) donne des détails actualisés
à  propos du passage de vos DC
Win2K à  Windows 2003 et explique
comment faire l’audit de vos domaines
pour des clients de bas niveau et pour
vous assurer que les DC présentent le
bon niveau de logiciel. Si vous utilisez
ou avez l’intention d’utiliser Microsoft
Exchange 2000 Server dans votre forêt,
lisez la partie de l’article expliquant
comment Forestprep redéfinit trois attributs
non conformes aux RFC
(Request for Comments) de l’IETF
(Internet Engineering Task Force) :
houseIdentifier, secretary et labeled-
URI. Si vous avez déjà  utilisé le kit
Win2K InetOrPerson, vous ne devriez
pas avoir de problème. Dans le cas
contraire et si vous utilisez Forestprep,
vous risquez de mélanger les attributs.
Par conséquent, avant d’utiliser
Adprep, exécutez un fichier LDIF (Data
Interchange Format) LDAP (Lightweight
Directory Access Protocol) qui
corrige les problèmes de schémas
Exchange. Pour plus de détails, voir
« How to Upgrade Windows 2000
Domain Controllers to Windows
Server 2003 ».
Un autre aspect peu connu de la
mise à  niveau des DC est le fait qu’elle
désactive le service Distributed Link
Tracking Server, un service qui s’accouple
avec le service Distributed Link
Tracking Client pour suivre les liens
(comme les raccourcis) dès lors que
les fichiers se déplacent sur un ordinateur
ou entre des ordinateurs. Microsoft
recommande de désactiver le service
sur les DC (faites-le dès à  présent :
inutile d’attendre l’installation de
Windows 2003) pour réduire l’overhead
de réplication et supprimer les
tables Distributed Link Tracking dans
AD pour réduire la taille de la base de
données. Voir l’article Microsoft
« Distributed Link Tracking on Windows-
Based Domain Controllers »
(http://support.microsoft.com/? kbid=
312403) pour plus de détails.

Téléchargez gratuitement cette ressource

Protection des Données : 10 Best Practices

Protection des Données : 10 Best Practices

Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.

Tech - Par Sean Deuby - Publié le 24 juin 2010