Diagnostiquer les problèmes de performance d’AD

Tôt ou tard, ça devait arriver : la performance de votre AD (Active Directory) s’est brusquement dégradée sans raison apparente. La semaine dernière encore, tout se passait bien ; mais cette semaine vous avez reçu cinq ou six doléances à propos de logons léthargiques, d’échecs des consultations du carnet d’adresses Microsoft Exchange Server, et de lents démarrages d’applications.En appliquant Performance Monitor à chacun de vos DC (domain controller), vous constatez que, sur l’un d’eux, l’utilisation de la CPU est bloquée à 100 % la plupart du temps. Pourtant rien n’a changé et tout le reste semble fonctionner correctement. Alors que faire ?

Heureusement il existe Windows Server 2003 Performance Advisor (SPA). C’est un utilitaire d’analyse de performances aussi efficace qu’inconnu, que Microsoft propose depuis plus de deux ans. Il automatise la collecte des données de configuration, de ETW (Event Tracing for Windows) et du compteur de performances provenant d’un ou plusieurs serveurs, passe à la moulinette la masse de données ainsi obtenue et en tire des rapports de performances d’une grande clarté, avec des alertes et des recommandations sur la manière de redresser la situation. SPA est livré avec des collecteurs de données prédéfinis et des règles de performances pour des serveurs de fichiers génériques, des DC AD, des serveurs DNS et des serveurs utilisant Microsoft Internet Information Service (IIS).

Standards de la fédération d’identités

Focus sur les trois principaux threads de standards de fédération d’identités.

Découvrez Windows Server 2008

Tout d’abord connue sous le nom de code Longhorn Server, Windows VISTA. Cette sortie correspond en France au deuxième opus de l’évènement Microsoft TechDays 2008, qui se déroule du 11 au 13 Février 2008. Une fois n’est pas coutume la sortie française s’effectue avant la sortie mondiale!

Il est évidemment impossible de couvrir l’ensemble des nouveautés d’un tel produit. Cependant nous allons nous efforcer de présenter les fonctionnalités essentielles de Windows 2008 et tenter de vous expliquer comment ce nouveau système va révolutionner votre vie d’administrateur !

Evolution des services de sécurité de Windows Server 2008

Nous avons présenté dans Active Directory : les services de certificats AD-CS (Active Directory Certificate Services) et les services de gestion des droits numériques ADRMS (Active Directory Rights Management Services).

AccessEnum

La prolifération des logiciels malveillants et la popularité des systèmes Windows Terminal Services à utilisateurs partagés, rend la sécurité Windows plus importante que jamais. Mais le modèle de sécurité Windows, avec ses DACL (discretionary ACL) souples est parfois difficile à gérer. En effet, Windows ne possède aucun outil intégré permettant de déterminer rapidement à quels fichiers, répertoires et sous-clés de registres les utilisateurs particuliers peuvent accéder.Et il n’est pas non plus facile de savoir si les utilisateurs ont des accès non autorisés à des répertoires sensibles ou à des sous-clés de registres profondément enfouies dans le système. Et c’est là qu’intervient AccessEnum de Sysinternals. Cet outil gratuit scrute un volume, un sous-répertoire ou une clé de registre spécifié pour déceler les maillons faibles potentiels dans vos paramètres de sécurité.

Optimisation de la synchronisation du connecteur Active Directory

Dans l’article « Les arcanes de la synchronisation du Connecteur Active Directory, 1ère partie » vous avez découvert certains des mécanismes utilisés par le Connecteur Active Directory (ADC) pour synchroniser les objets cachés, les listes de distribution (DL) avec appartenance masquée, ainsi que l’authentification des accords ou contrats de connexion (CA) et la gestion des informations d’identification.Une fois que vous avez compris le fonctionnement interne d’ADC et la manière dont il gère les objets pendant la synchronisation, vous pouvez l’optimiser afin d’améliorer la synchronisation dans votre environnement.

DNS

Récemment, mon réseau a souffert d’un problème intermittent de résolution de noms DNS. Franchement, traquer des bogues de résolution de noms n’est pas ce que je préfère. Et, malheureusement, mes compétences en dépannage DNS se sont rouillées au fil du temps. Il est vrai que DNS sait se faire oublier quand il fonctionne selon les normes: tout fonctionne : navigateur, client e-mail, serveur de courrier électronique, DC (domain controller). Comme je n’avais pas eu à dépanner DNS depuis des années, j’ai vu mon problème actuel comme une excellente occasion de rafraîchir mes compétences.Comme DNS est devenu la pierre angulaire d’un environnement AD (Active Directory) satisfaisant et parce que DNS est le liant des éléments d’Internet, il est essentiel de pouvoir détecter et résoudre rapidement les problèmes DNS du réseau. Voyons d’abord les subtilités du dépannage DNS en dehors de l’AD (Active Directory) puis voyons quelles complexités cet AD ajoute à l’ensemble.

Fonctionnalités de sécurité liées à  la PKI Windows

Les services de sécurité avancés de la PKI ont longtemps été freinés par la crainte qu’un tel système soit lourd à gérer. Aujourd’hui les améliorations sur la gestion de ces services sont nombreuses, par exemple la PKI Microsoft s’interface aisément à l’Active Directory pour diffuser les certificats aux ordinateurs et utilisateurs. En outre, les solutions bâties sur les cartes à puce apportent une réponse industrielle et facilitent l’utilisation de la solution par les utilisateurs.Disponible par défaut avec Windows 2000 ou 2003 Server, les services PKI apportent de nombreuses fonctionnalités supplémentaires :

• Cryptage de fichiers avec le système EFS sous Windows XP
• Services d’authentification forte (SmartCard logon, WireLess…)
• Mise en place de réseau privé virtuel (VPN)
• Sécurisation des échanges avec IPSEC
• Messagerie sécurisée avec signature et cryptage S/MIME
• Signatures numériques (applications, macros, utilisateurs…)

Les arcanes de la synchronisation du connecteur Active Directory

Le Connecteur Active Directory (ADC) existe depuis les débuts d’Exchange 2000 Server. Sa fonction est de synchroniser les informations du Service Annuaire Exchange 5.5 avec Active Directory, de telle sorte qu’une organisation Exchange en mode mixte, à savoir contenant des serveurs Exchange 5.5 et Exchange 2003 ou Exchange 2000, puisse avoir une vue cohérente unique des informations concernant les utilisateurs et la configuration.Bien que le Connecteur Active Directory ait fait l’objet de nombreuses améliorations depuis sa création (dont la plus spectaculaire est la possibilité de déplacer des boîtes aux lettres entre plusieurs sites dans Exchange 2003 Service Pack 1), les fonctionnalités de base d’ADC n’ont pas changé. Néanmoins, tous les mécanismes sous-jacents au connecteur ne sont pas forcément bien appréhendés. Leur étude vous aidera à mettre enoeuvre correctement un environnement de synchronisation basé sur ADC. Dans un prochain article, nous aborderons le processus d’optimisation du Connecteur Active Directory.

Des pistes pour mettre à  niveau AD à  Windows Server 2003

Une fois qu'on a bien saisi tous les détails, l'intérêt pratique apparaît; Parfois ce sont les améliorations les plus simples d’un produit qui procurent les plus grands avantages. C’est le cas de Windows Server 2003. Les améliorations de l’OS par rapport à Windows 2000 Server sont suffisamment notables pour justifier votre temps et votre attention, de la planification au déploiement. C’est particulièrement vrai dans des entreprises qui possèdent une vaste forêt d’AD (Active Directory). Là, de petites améliorations apportées à l’AD d’entreprise peuvent avoir un large impact général. Il n’en reste pas moins que le passage de l’infrastructure AD à Windows 2003, s’il procure des avantages indéniables, est un chantier d’envergure. Avant de vous lancer, il vous faudra probablement démontrer à la direction que le jeu en vaut la chandelle.

Heureusement Windows 2003 permet cela très facilement et je peux vous montrer pourquoi et comment. Ensuite, après avoir plaidé votre cause avec succès et quand vous serez en pleine planification de la mise à niveau, il vous faudra prendre en compte quelques points importants non couverts dans la documentation Microsoft.

DSREVOKE

L’un des points forts d’AD par rapport aux domaines de Windows NT 4.0, est la délégation : la possibilité de créer un utilisateur ou un groupe avec des pouvoirs définis de façon très détaillée. Sous NT 4.0, les utilisateurs sont soit tous puissants (membres du groupe Domain Admins, par exemple) soit relativement impuissants (membres du groupe Domain Users, par exemple). En revanche, AD permet de créer des « sous-administrateurs », c’est-à-dire des gens qui ont un pouvoir administratif, mais inférieur à celui d’un administrateur de domaine. AD permet aussi d’octroyer à certaines personnes le contrôle complet sur uniquement un sous-ensemble de domaine (c’est-à-dire, une OU – organizational unit). Mieux encore, avec son Delegation of Control Wizard, Microsoft a simplifié la tâche plutôt complexe que constitue la délégation.Cependant, la délégation d’AD n’a jamais été parfaite, et ce pour deux raisons. Premièrement, bien qu’un wizard aide à pratiquer la délégation, il n’en est pas qui permette d’annuler cette même délégation. Or, il est toujours difficile de retirer un pouvoir que l’on a accordé.
Il faut pour cela creuser au travers de plusieurs couches de la GUI de sécurité. Deuxièmement, AD ne permet pas de déterminer facilement quelles délégations vous avez instaurées. Avec son superbe outil ligne de commande Dsrevoke, Microsoft a simplifié les deux processus : celui de la documentation et celui de l’annulation des délégations existantes. Vous trouverez Dsrevoke au Microsoft Download Center (http://www.microsoft.com/downloads).

5 outils AD indispensables

A son arrivée, Windows 2000 Active Directory (AD) a révolutionné le monde des services de répertoire. Malheureusement, il existait peu d’outils ligne de commande pour gérer AD. Heureusement, depuis l’avènement de Windows Server 2003, Microsoft et des tiers ont développé de nouveaux outils et mis à jour les existants, pour améliorer la capacité d’administration de l’AD. Les aficionados de la ligne de commande jugent cinq outils indispensables : AdFind, AdMod, OldCmp, Dsrevoke et AdRestore. Ces outils sont survitaminés et prêts à vous servir dans l’environnement AD.Même si vous préférez une GUI à une interface ligne de commande, il est important de comprendre les mérites de ces cinq outils ligne de commande. Dans bien des cas, aucune GUI ne peut rivaliser avec eux. Une bonne maîtrise de ces outils présente un autre avantage : on peut utiliser des fichiers batch de base pour diriger leur travail. N’aimeriezvous pas que ces outils exécutent automatiquement leurs tâches pendant que vous vous occupez ailleurs ? C’est tout à fait possible avec les outils ligne de commande. Ainsi, on peut utiliser un simple script batch de deux lignes qui demande à OldCmp de nettoyer les comptes ordinateur inactifs et de vous envoyer les résultats par e-mail.

Nous allons donc voir comment utiliser AdFind, AdMod, OldCmp, Dsrevoke et AdRestore dans votre environnement AD, pour dynamiser votre travail quotidien. Les cinq outils sont gratuits. Et, sauf mention contraire, ils opèrent tous dans des domaines Win2K et Windows 2003.

Réplication différée – Reprise d’AD

Vendredi après-midi, presque 17 heures. Vous êtes prêt à partir pour le weekend et voilà que le téléphone sonne : vous décrochez avec une certaine appréhension. Le Help desk vient juste de supprimer malencontreusement une OU (organizational unit) contenant les comptes utilisateur de plusieurs cadres supérieurs. Aucun d’eux ne peut plus se connecter au domaine pour accéder aux ressources : courriel, agendas et autres. Votre estomac se noue aussitôt parce que, bien que vous ayez testé la restauration de certains objets AD (Active Directory), vous ne l’avez jamais fait sous la pression pas plus que vous n’avez utilisé des bandes contrôlées par le groupe de sauvegarde dans un datacenter éloigné. Après deux heures de bagarre avec le groupe de sauvegarde et après avoir enfin obtenu les bandes correctes dans le chargeur de bande, vous êtes prêts à effectuer la restauration.Si vous avez auparavant bien testé et documenté vos procédures de sauvegarde et de restauration, il vous faudra simplement deux heures de plus pour restaurer le fichier d’arborescence d’informations des répertoires sur le DC (domain controller) et poursuivre avec la restauration des objets. Et, pendant tout ce temps-là, vous vous dites, Il doit exister un moyen plus rapide et plus simple.

De nombreuses sociétés comptent sur AD non seulement en tant que mécanisme d’authentification de domaine qui permet d’accéder aux ressources du réseau, mais aussi comme le répertoire de e-mail et, dans certains cas, le répertoire autoritaire de la société. Bien entendu, l’intégrité des données dans l’AD aura été jalousement préservée et la reprise après sinistre doit être une priorité. Chaque heure passée à restaurer un objet supprimé peut coûter quelques milliers d’euros. Entrez dans le site de reprise à réplication différée.

A la conquête des limites intégrées d’ACTIVE DIRECTORY

Plus on utilise Active Directory (AD), et plus on risque de subir une ou plusieurs des limites imposées soit par AD lui-même, soit par une interface servant à l’administrer. Ces limites visent principalement à optimiser les performances d’AD et elles n’ont que peu de rapport avec le nombre d’objets possible. Par exemple, le maximum de comptes utilisateur possibles dans un domaine Windows NT était de 40 000. Le nombre de comptes utilisateur possibles dans un domaine AD est énorme. Je ne connais pas le maximum, mais Korea.com (portail Internet proposant des services Web aux citoyens coréens) a une implémentation d’AD couvrant 8 millions de comptes utilisateur. Nous allons voir quelques-unes des limites d’AD actuelles et comment s’y adapter, ou comment s’en affranchir si elles devaient s’avérer gênantes.

Quelques règles simples pour faire d’Active Directory votre meilleur allié !

Vous avez des difficultés avec AD (Active Directory) ? Certains de vos DC (domain controllers) ont des problèmes de réplication et maintenant ils n’obtiennent pas de mises à jour d’AD ? Certains utilisateurs reçoivent des erreurs No domain controller found (Pas de domain controller trouvé) ? Dcpromo tombe en panne sans raison apparente ? Avez-vous songé que le coupable n’est peut-être pas AD mais plutôt DNS?Vos interactions avec AD consistent en grande partie à trouver des genres particuliers de serveurs : DC, serveurs GC (Global Catalog) et – si vous effectuez la réplication GC via SMTP – serveurs e-mail. Si vous ne pouvez pas trouver l’un de ces serveurs, vous ne pouvez pas non plus convaincre AD de faire ce que vous voulez qu’il fasse. AD trouve ces serveurs en interrogeant les serveurs DNS. C’est pourquoi une grande partie des défaillances d’AD sont causées, si j’en crois mon expérience, par des problèmes DNS. Lesquels proviennent, pour la plupart, des erreurs de configuration que j’explique dans cet article. Commençons par un problème courant qui affecte les utilisateurs d’une forêt multi domaines.

Automatiser DCPROMO

Dans mes deux articles précédents, j’expliquais comment créer des fichiers batch simples permettant de configurer automatiquement des machines pour mettre en place des DC (domain controllers) – et, par la même occasion, des domaines, arbres et forêts. De tels fichiers batch sont très utiles pour plusieurs raisons. Tout d’abord, un bon plan de reprise après sinistre impose ce genre de fichier batch parce qu’il permet de démarrer à partir d’une copie fraîchement installée de Windows Server 2003 ou Windows 2000 Server. En tapant quelques commandes, on obtient une forêt entièrement fonctionnelle, reconstruite à partir de zéro. Deuxièmement, outre la reprise après sinistre, le fichier batch peut servir à construire de petits réseaux de test qui simulent le réseau d’entreprise et permettent de se livrer à quelques essais et expériences en toute sécurité. Troisièmement, ce fichier batch illustre la puissance de l’automatisation batch : sur un système « frais », on peut taper une commande, aller faire un tour puis revenir 15 minutes plus tard pour trouver une pile IP, un réseau de serveurs DNS et un domaine AD (Active Directory) parfaitement configurés.Jusqu’ici, je vous ai montré comment créer un fichier batch qui configure une pile IP et un réseau de serveurs DNS. A présent, nous allons voir comment utiliser un fichier batch pour créer des domaines AD.

AD pour les agences

Ceux qui doivent concevoir l’AD (Active Directory) d’une société, s’aperçoivent rapidement que le plus difficile n’est pas de concevoir les grands sites bien connectés où se trouve la plus grande partie du personnel. Le plus délicat se situe à la marge : les agences satellites où quelques dizaines d’employés partagent une liaison WAN lente. Or, ces agences sont souvent l’interface la plus directe de la société avec ses clients. D’où la question : comment leur apporter les services Windows Server au moindre coût ? Et aussi dans quelles agences faut-il créer des sites et placer des serveurs de DC (domain controllers) et de GC (Global Catalog).

Le processus Adprep

Vos premiers pas vers une infrastructure d’AD Windows 2003

Nous avons tous beaucoup entendu parler de Windows Server 2003 et des avantages qu’il présente pour l’infrastructure AD (Active Directory). Si vous avez jeté un coup d’oeil à sa documentation, vous avez probablement constaté que le passage de Windows 2000 à DC (domain controller) Windows 2003 s’effectue très simplement ...Mais il faut aussi savoir qu’avant de pouvoir passer à une infrastructure d’AD Windows 2003, il faut, avec l’utilitaire Adprep, préparer votre schéma et votre structure de forêts d’AD Win2K.
Le processus Adprep est simple et direct. Il comporte deux options : Forestprep, que l’on exécute une fois pour la forêt, et Domainprep, que l’on exécute une fois dans chaque domaine. Bien que l’exécution du processus ne soit pas très longue, vous devez être sûrs d’avoir bien compris les prérequis de l’utilitaire et d’avoir prévu ses effets, parce que Adprep a un impact permanent sur toute la forêt.

L’outil Directory Exchange LDIF

Pour tirer le maximum de vos données de répertoires

Et si je vous disais que Windows 2000 comporte un utilitaire capable d’importer et d’exporter facilement des enregistrements Active Directory à des fins de reporting et de migration ? Et si cet outil pouvait aussi ajouter, modifier ou supprimer des objets AD ? ...L’outil Lightweight Directory Access Protocol (LDAP) Data Interchange Format (LDIF) Directory Exchange, mieux connu sous le nom de ldifde, vous permet d’exporter des données à partir d’AD, objet par objet (utilisateur, groupe, par exemple) attribut par attribut (nom, société, département, par exemple) vers un fichier en format LDIF. LDIF est un format de fichier standard Internet fondé sur l’Internet Engineering Task Force (IETF) Request for Comments (RFC) 2849 pour importer et exporter des données à partir de répertoires LDAP comme AD. Après avoir exporté les données, vous pouvez utiliser le fichier LDIF pour importer les mêmes objets dans un répertoire LDAP différent. Ou bien, vous pouvez utiliser la sortie de Ldifde comme données brutes pour un rapport ou comme point de départ pour créer un fichier LDIF de changements à réimporter dans AD.
Voyons quelques exemples de fichiers LDIF pour que vous appreniez à utiliser Ldifde et son utilitaire frère, Csvde, pour tirer le maximum de vos données AD. Csvde est la version CSV (comma-separated value) de Ldifde qui vous permet d’importer des données dans des applications base de données comme Microsoft Access ou des applications tableur comme Microsoft Excel qui supportent des fichiers au format CSV. Ldifde et Csvde accompagnent Win2K Server, mais vous pouvez copier ces utilitaires à partir du CD-ROM d’installation Win2K Server et les exécuter sur des stations de travail Windows XP et Win2K.

Planifier et personnaliser la délégation d’AD

Utilisez la méthodologie Tâche, Rôle, Domaine pour administrer votre environnement AD

L’administration d’un réseau d’entreprise est un fardeau qu’il est bon de pouvoir décentraliser. En délégant des tâches administratives à certains collaborateurs, vous pouvez réduire le coût de possessionLes réseaux Windows permettent de décentraliser l’administration par divers moyens et technologies. Vous pouvez, par exemple, déléguer le contrôle sur AD (Active Directory) en utilisant l’Active Directory Delegation of Control Wizard et l’ACL Editor. Vous pouvez aussi personnaliser le Delegation of Control Wizard pour faciliter la mise en place de votre plan. Voyons d’abord la délégation en général puis intéressons nous aux techniques de personnalisation du wizard.