> Active Directory
Réplication différée – Reprise d’AD

Réplication différée – Reprise d’AD

Vendredi après-midi, presque 17 heures. Vous êtes prêt à partir pour le weekend et voilà que le téléphone sonne : vous décrochez avec une certaine appréhension. Le Help desk vient juste de supprimer malencontreusement une OU (organizational unit) contenant les comptes utilisateur de plusieurs cadres supérieurs. Aucun d’eux ne peut plus se connecter au domaine pour accéder aux ressources : courriel, agendas et autres. Votre estomac se noue aussitôt parce que, bien que vous ayez testé la restauration de certains objets AD (Active Directory), vous ne l’avez jamais fait sous la pression pas plus que vous n’avez utilisé des bandes contrôlées par le groupe de sauvegarde dans un datacenter éloigné. Après deux heures de bagarre avec le groupe de sauvegarde et après avoir enfin obtenu les bandes correctes dans le chargeur de bande, vous êtes prêts à effectuer la restauration.Si vous avez auparavant bien testé et documenté vos procédures de sauvegarde et de restauration, il vous faudra simplement deux heures de plus pour restaurer le fichier d’arborescence d’informations des répertoires sur le DC (domain controller) et poursuivre avec la restauration des objets. Et, pendant tout ce temps-là, vous vous dites, Il doit exister un moyen plus rapide et plus simple.

De nombreuses sociétés comptent sur AD non seulement en tant que mécanisme d’authentification de domaine qui permet d’accéder aux ressources du réseau, mais aussi comme le répertoire de e-mail et, dans certains cas, le répertoire autoritaire de la société. Bien entendu, l’intégrité des données dans l’AD aura été jalousement préservée et la reprise après sinistre doit être une priorité. Chaque heure passée à restaurer un objet supprimé peut coûter quelques milliers d’euros. Entrez dans le site de reprise à réplication différée.

Lire l'article
A la conquête des limites intégrées d’ACTIVE DIRECTORY

A la conquête des limites intégrées d’ACTIVE DIRECTORY

Plus on utilise Active Directory (AD), et plus on risque de subir une ou plusieurs des limites imposées soit par AD lui-même, soit par une interface servant à l’administrer. Ces limites visent principalement à optimiser les performances d’AD et elles n’ont que peu de rapport avec le nombre d’objets possible. Par exemple, le maximum de comptes utilisateur possibles dans un domaine Windows NT était de 40 000. Le nombre de comptes utilisateur possibles dans un domaine AD est énorme. Je ne connais pas le maximum, mais Korea.com (portail Internet proposant des services Web aux citoyens coréens) a une implémentation d’AD couvrant 8 millions de comptes utilisateur. Nous allons voir quelques-unes des limites d’AD actuelles et comment s’y adapter, ou comment s’en affranchir si elles devaient s’avérer gênantes.

Lire l'article
Quelques règles simples pour faire d’Active Directory votre meilleur allié !

Quelques règles simples pour faire d’Active Directory votre meilleur allié !

Vous avez des difficultés avec AD (Active Directory) ? Certains de vos DC (domain controllers) ont des problèmes de réplication et maintenant ils n’obtiennent pas de mises à jour d’AD ? Certains utilisateurs reçoivent des erreurs No domain controller found (Pas de domain controller trouvé) ? Dcpromo tombe en panne sans raison apparente ? Avez-vous songé que le coupable n’est peut-être pas AD mais plutôt DNS?Vos interactions avec AD consistent en grande partie à trouver des genres particuliers de serveurs : DC, serveurs GC (Global Catalog) et – si vous effectuez la réplication GC via SMTP – serveurs e-mail. Si vous ne pouvez pas trouver l’un de ces serveurs, vous ne pouvez pas non plus convaincre AD de faire ce que vous voulez qu’il fasse. AD trouve ces serveurs en interrogeant les serveurs DNS. C’est pourquoi une grande partie des défaillances d’AD sont causées, si j’en crois mon expérience, par des problèmes DNS. Lesquels proviennent, pour la plupart, des erreurs de configuration que j’explique dans cet article. Commençons par un problème courant qui affecte les utilisateurs d’une forêt multi domaines.

Lire l'article
Automatiser DCPROMO

Automatiser DCPROMO

Dans mes deux articles précédents, j’expliquais comment créer des fichiers batch simples permettant de configurer automatiquement des machines pour mettre en place des DC (domain controllers) – et, par la même occasion, des domaines, arbres et forêts. De tels fichiers batch sont très utiles pour plusieurs raisons. Tout d’abord, un bon plan de reprise après sinistre impose ce genre de fichier batch parce qu’il permet de démarrer à partir d’une copie fraîchement installée de Windows Server 2003 ou Windows 2000 Server. En tapant quelques commandes, on obtient une forêt entièrement fonctionnelle, reconstruite à partir de zéro. Deuxièmement, outre la reprise après sinistre, le fichier batch peut servir à construire de petits réseaux de test qui simulent le réseau d’entreprise et permettent de se livrer à quelques essais et expériences en toute sécurité. Troisièmement, ce fichier batch illustre la puissance de l’automatisation batch : sur un système « frais », on peut taper une commande, aller faire un tour puis revenir 15 minutes plus tard pour trouver une pile IP, un réseau de serveurs DNS et un domaine AD (Active Directory) parfaitement configurés.Jusqu’ici, je vous ai montré comment créer un fichier batch qui configure une pile IP et un réseau de serveurs DNS. A présent, nous allons voir comment utiliser un fichier batch pour créer des domaines AD.

Lire l'article
AD pour les agences

AD pour les agences

Ceux qui doivent concevoir l’AD (Active Directory) d’une société, s’aperçoivent rapidement que le plus difficile n’est pas de concevoir les grands sites bien connectés où se trouve la plus grande partie du personnel. Le plus délicat se situe à la marge : les agences satellites où quelques dizaines d’employés partagent une liaison WAN lente. Or, ces agences sont souvent l’interface la plus directe de la société avec ses clients. D’où la question : comment leur apporter les services Windows Server au moindre coût ? Et aussi dans quelles agences faut-il créer des sites et placer des serveurs de DC (domain controllers) et de GC (Global Catalog).

Lire l'article
Le processus Adprep

Le processus Adprep

Vos premiers pas vers une infrastructure d’AD Windows 2003

Nous avons tous beaucoup entendu parler de Windows Server 2003 et des avantages qu’il présente pour l’infrastructure AD (Active Directory). Si vous avez jeté un coup d’oeil à sa documentation, vous avez probablement constaté que le passage de Windows 2000 à DC (domain controller) Windows 2003 s’effectue très simplement ...Mais il faut aussi savoir qu’avant de pouvoir passer à une infrastructure d’AD Windows 2003, il faut, avec l’utilitaire Adprep, préparer votre schéma et votre structure de forêts d’AD Win2K.
Le processus Adprep est simple et direct. Il comporte deux options : Forestprep, que l’on exécute une fois pour la forêt, et Domainprep, que l’on exécute une fois dans chaque domaine. Bien que l’exécution du processus ne soit pas très longue, vous devez être sûrs d’avoir bien compris les prérequis de l’utilitaire et d’avoir prévu ses effets, parce que Adprep a un impact permanent sur toute la forêt.

Lire l'article
L’outil Directory Exchange LDIF

L’outil Directory Exchange LDIF

Pour tirer le maximum de vos données de répertoires

Et si je vous disais que Windows 2000 comporte un utilitaire capable d’importer et d’exporter facilement des enregistrements Active Directory à des fins de reporting et de migration ? Et si cet outil pouvait aussi ajouter, modifier ou supprimer des objets AD ? ...L’outil Lightweight Directory Access Protocol (LDAP) Data Interchange Format (LDIF) Directory Exchange, mieux connu sous le nom de ldifde, vous permet d’exporter des données à partir d’AD, objet par objet (utilisateur, groupe, par exemple) attribut par attribut (nom, société, département, par exemple) vers un fichier en format LDIF. LDIF est un format de fichier standard Internet fondé sur l’Internet Engineering Task Force (IETF) Request for Comments (RFC) 2849 pour importer et exporter des données à partir de répertoires LDAP comme AD. Après avoir exporté les données, vous pouvez utiliser le fichier LDIF pour importer les mêmes objets dans un répertoire LDAP différent. Ou bien, vous pouvez utiliser la sortie de Ldifde comme données brutes pour un rapport ou comme point de départ pour créer un fichier LDIF de changements à réimporter dans AD.
Voyons quelques exemples de fichiers LDIF pour que vous appreniez à utiliser Ldifde et son utilitaire frère, Csvde, pour tirer le maximum de vos données AD. Csvde est la version CSV (comma-separated value) de Ldifde qui vous permet d’importer des données dans des applications base de données comme Microsoft Access ou des applications tableur comme Microsoft Excel qui supportent des fichiers au format CSV. Ldifde et Csvde accompagnent Win2K Server, mais vous pouvez copier ces utilitaires à partir du CD-ROM d’installation Win2K Server et les exécuter sur des stations de travail Windows XP et Win2K.

Lire l'article
Planifier et personnaliser la délégation d’AD

Planifier et personnaliser la délégation d’AD

Utilisez la méthodologie Tâche, Rôle, Domaine pour administrer votre environnement AD

L’administration d’un réseau d’entreprise est un fardeau qu’il est bon de pouvoir décentraliser. En délégant des tâches administratives à certains collaborateurs, vous pouvez réduire le coût de possessionLes réseaux Windows permettent de décentraliser l’administration par divers moyens et technologies. Vous pouvez, par exemple, déléguer le contrôle sur AD (Active Directory) en utilisant l’Active Directory Delegation of Control Wizard et l’ACL Editor. Vous pouvez aussi personnaliser le Delegation of Control Wizard pour faciliter la mise en place de votre plan. Voyons d’abord la délégation en général puis intéressons nous aux techniques de personnalisation du wizard.

Lire l'article
Publication des imprimantes AD

Publication des imprimantes AD

Informez les utilisateurs des ressources d’impression

Prononcez le mot « imprimantes » devant un groupe de professionnels de l’informatique et constatez aussitôt leur manque de passion. Il est vrai que, confrontés aux imprimantes et à leurs problèmes, la plupart d’entre nous ne manifestent que peu d’intérêt pour les petits voyants de couleur clignotants...Tout simplement, nous n’aimons pas beaucoup les imprimantes. Pourtant, la possibilité de rechercher les imprimantes disponibles dans l’AD (Active Directory) est l’un des principaux avantages procurés aux utilisateurs finaux quand on migre de Windows NT à un domaine Windows 2000. Et la publication des imprimantes AD permet ces recherches.

Lire l'article
ADModify

ADModify

Avec cet outil GUI, effectuez des éditions d’AD en volume

En général, les domaines AD (Active Directory) constituent une nette amélioration par rapport aux domaines Windows NT 4.0. Sauf Concernant les éditions en masse ...Si vous êtes un ancien administrateur NT 4.0 qui utilise AD quotidiennement, vous constaterez rapidement que l’outil de gestion de comptes utilisateur User Manager for Domains de NT 4.0 est supérieur au snap-in Microsoft Management Console (MMC) Users and Computers de Windows 2000 Server, dans un domaine important : les éditions en volume, ou éditions de masse.

Lire l'article
Utiliser IntelliMirror pour gérer les données utilisateurs et le paramétrage

Utiliser IntelliMirror pour gérer les données utilisateurs et le paramétrage

Revoyez votre stratégie de gestion des ordinateurs desktop

Les ordinateurs desktop sont au coeur de la plupart des entreprises. Lesquelles dépendent de plus en plus de la plate-forme desktop et de ses données. Il est donc important de se demander s’il convient de revoir, ou de réévaluer, la présente stratégie de gestion de ce parc...Commençons par quelques questions simples : Quand le disque dur de l’un des utilisateurs est défaillant, dans quel délai pouvez-vous le remettre en ligne ? Comment allez-vous récupérer les données et comment pouvez- vous restaurer l’environnement d’exploitation afin que l’utilisateur retrouve ses outils de travail ? Grâce aux fonctions IntelliMirror de Windows 2000 Server avec des clients Windows XP et Win2K, vous pouvez concevoir et appliquer une stratégie efficace pour gérer les données et les paramètres utilisateur sans trop d’effort et sans mettre à mal le budget.
Interrogez cinq informaticiens différents et vous recevrez probablement cinq descriptions différentes d’IntelliMirror. Mais en substance, IntelliMirror est un ensemble d’outils permettant d’assurer la gestion des données utilisateur, des paramètres utilisateur, des paramètres ordinateur et l’installation et la maintenance du logiciel dans le cadre des stratégies de groupe. Les technologies de base de ces composants sont au nombre de deux : AD (Active Directory) et les Stratégies de groupe. Concentrons-nous sur la gestion des données utilisateur et celle des paramètres utilisateur. Plus précisément, les profils des utilisateurs itinérants, la redirection des dossiers, et les fonctions de fichiers offline.

Lire l'article
Mise en place d’AD rapide et automatisée

Mise en place d’AD rapide et automatisée

Utilisez les fichiers batch pour construire votre réseau d’AD

Il m’arrive souvent de tester des configurations pour des clients, de rechercher des sujets d’articles, ou d’installer des machines de démonstration pour des cours. Tout cela m’amène à construire constamment de nouveaux réseaux d’AD (Active Directory) à partir de zéro. Les wizards deviennent rapidement pénibles, et j’ai parfois l’impression de passer une bonne partie de ma journée à attendre que des outils de type GUI me demandent une entrée.Depuis l’époque de PC-DOS 1.0, je suis un chaud partisan des fichiers batch. J’ai donc créé une série d’outils batch me permettant de mettre en place rapidement des réseaux d’AD avec un minimum d’intervention personnelle. Ce mois-ci, je vais partager avec vous ces intéressants outils automatisés.
Par souci de simplicité, je limite l’exemple de cet article à un réseau extrêmement simple constitué de deux serveurs: UptownDC et Downtown DC. L’un des serveurs est une machine Windows Server 2003 et l’autre est un serveur Windows 2000. Les outils de support et le service DNS Server sont installés sur les deux. Ma première tâche consiste à établir des adresses IP statiques sur UptownDC et DowntownDC et à définir le suffixe DNS pour qu’il corresponde à la zone DNS à créer sous peu. Les adresses IP de UptownDC et de DowntownDC sont, respectivement, 192.168.0.2 et 10. 0.0.2. Les deux serveurs se trouvent dans les réseaux en subnet- C, c’est-à-dire qu’ils utilisent les masques subnet de 255.255.255.0.
Je vais créer un domaine AD nommé bigfirm.biz mais avant cela, il me faut créer une zone DNS nommée bigfirm.biz – et cette opération est plus simple si mes serveurs DNS possèdent déjà le suffixe DNS bigfirm.biz. Par conséquent, je dois d’abord définir une adresse IP statique et un suffixe DNS. Malheureusement, je n’ai pas trouvé de bon moyen permettant de renommer les systèmes Win2K à partir de la ligne de commande. (L’outil Renamecomputer de Netdom ne vaut que pour des systèmes qui sont déjà joints aux domaines.) Il me faut donc définir les noms de machines de UptownDC et de DowntownDC à partir de la GUI.

Lire l'article
Installation de DC sans problème

Installation de DC sans problème

Vos questions invitent à y regarder de plus près

La mise en place d’AD (Active Directory) ressemble beaucoup au jeu d’échecs : il faut anticiper mais aussi définir la stratégie au fur et à mesure, en veillant à ne pas perdre le roi parce qu’on a été obsédé par les pions...Vous pourriez vous plonger dans la mise en place des domaines, des OU (organizational units), des groupes et des comptes utilisateur, mais vous ne devez pas oublier un principe IT fondamental : quand vous faites un changement, assurez-vous qu’il fonctionne. Après avoir promu un serveur membre Windows 2000 au rang de DC (domain controller), passez-le au crible d’une liste de contrôle pour confirmer que la promotion s’est bien passée et faites quelques changements de configuration simples mais importants pour vous assurer que le DC fonctionnera quand vous en aurez besoin. Parcourons donc la liste de contrôle à couvrir pour configurer un domaine AD.

Lire l'article
Migrer vers Windows 2003 avec Active Directory Migration Tool Version 2.0

Migrer vers Windows 2003 avec Active Directory Migration Tool Version 2.0

A l’heure de la sortie officielle de Windows 2003, les nouveautés apportées par la nouvelle mouture de Microsoft annoncent d’agréables surprises. Parmi celles-ci, on notera la nouvelle version d’ADMT.ADMT (Active Directory Migration Tool) livré gratuitement en version 2 avec Windows 2003 est un outil qui permet de migrer facilement, rapidement et de manière sécurisée les comptes d’utilisateurs, d’ordinateurs et des groupes comme le montre la figure 1.
ADMT peut migrer d’un domaine NT4 vers un environnement Active Directory (interforêt), entre des domaines Active Directory de différentes forêts (interforêt) ou tout simplement consolider des domaines Active Directory d’une même forêt en un seul domaine (intraforêt). Voir figure 1.
Au cours de cet article, nous évoquerons tout d’abord les nouveautés de l’ADMT par rapport à la version précédente. Puis, après avoir fait un point sur la sécurité, nous listerons les prérequis avant toute migration avec ADMT v2. Enfin, nous aborderons rapidement la place qu’occupe ADMT aujourd’hui face à ses pairs.

Lire l'article
Récupérer après l’échec d’une promotion DC

Récupérer après l’échec d’une promotion DC

Gardez la tête froide et utilisez les bons outils pour promouvoir un DC NT faiblard au niveau Win2K AD

Nous étions là, entourés de mets disposées sur des plateaux. Pourtant, pas question de manger en attendant le moment crucial. Ce n’était pas le nouvel an, mais l’une des nombreuses soirées passées à travailler sur une implémentation Active Directory.Vous voyez le topo : des journées interminables, des nuits qui n’en finissent pas – la totale !
Nous en étions au quatrième jour du passage de Windows NT 4.0 à Windows 2000 AD. Tout se passait bien et nous avions bien avancé pendant le processus de pré-mise à niveau. Puis la catastrophe frappa. Qu’est-ce qui avait raté et comment allions-nous régler le problème?

Lire l'article
Pourquoi superviser son infrastructure AD avec MOM

Pourquoi superviser son infrastructure AD avec MOM

Depuis environ un an, un petit nouveau est apparu dans le monde de la supervision : Microsoft Operations Manager. Petit nouveau certes, mais il est important de noter que ce produit n’est pas tout jeune et est déjà mature. En effet, il en est en fait, à sa version N°4. C’est un produit qui a été racheté par Microsoft à NetIQ. Le service pack1 du produit sort en janvier 2003.Ce produit est destiné à être une référence dans le monde de la supervision des infrastructures Microsoft et commence déjà réellement à s’implanter dans les entreprises soucieuses du bon fonctionnement de leurs infrastructures Windows.

Avant de décrire pourquoi MOM est le produit idéal pour surveiller l’AD, il est important de rappeler pourquoi il est nécessaire de superviser une infrastructure Active Directory.

Lire l'article
Gardez le service computer browser en action

Gardez le service computer browser en action

Le service Microsoft Computer Browser maintient des listes des domaines, groupes de travail et ordinateurs basés sur Windows de votre réseau, ainsi que d’autres équipements du réseau prenant en charge le protocole NetBIOS. Ces listes de navigation sont la source de l’information que les utilisateurs voient quand ils étendent Network Neighborhood dans Windows Explorer ...Dans les réseaux de type Windows 2000, AD (Active Directory) remplace le service Computer Browser. Cependant, des réseaux Win2KWindows NT mixtes qui maintiennent des DC (domain controllers) et des réseaux pré-Win2K avec certains clients qui ne sont pas qualifiés pour AD, utilisent encore le service Computer Browser.

Dans le service Computer Browser, le domaine master browser dans un réseau IP interagit avec les segments master browsers du réseau, s’appuyant sur la résolution de noms NetBIOS et sur plusieurs noms NetBIOS spéciaux, pour assembler des listes d’ordinateurs et d’autres équipements. Mais que faire quand le service Computer Browser de votre réseau tombe en panne ? Dans cette éventualité, vous devez connaître les outils et procédures permettant de régler les problèmes du service navigateur.

Lire l'article