mardi 17 janvier 2017

Déplacer les fichiers de logs et la base de donnée NTDS d'un contrôleur de domaine

Dans cet article nous allons comment  déplacer les fichiers de la base de donnée et de logs d'un contrôleur de domaine dans un nouvel emplacement.

Avant d'exécuter les étapes ci-dessus, n'oublier pas de lancer une sauvegarde de votre contrôleur de domaine ,il faut aussi vous connecter à travers un compte administrateur de domaine sur le contrôleur de domaine.
Voici les différentes étapes à exécuter:

Lancer la commande net stop ntds pour arrêter les services active directory:



Taper Y puis sur Entrée:



Il faut attendre jusqu'à la fin de l'arrêt de tous les services comme indiqué ci-dessous:



Une fois que le service active directory est arrêté avec succès, lancer la commande ntdsutil :



Devant ntdsutil taper activate instance ntds:


Devant  ntdsutil taper files:


Pour vérifier l'emplacement actuel des fichiers de la base de donnée du contrôleur de domaine taper info:


Pour déplacer les fichiers dela base de donnée vers le nouveau emplacement taper la commande move db to E:\AD-DATABASE:


Il faut attendre jusqu'à la fin du déplacement :


Pour déplacer les fichiers de log dans le nouvel emplacement ,taper la commande move logs to E:\AD-DATABASR\logs :



Il faut attendre jusqu'à la fin du déplacement:


Taper info pour vérifier les nouveaux emplacements des fichiers de la base de donnée et les fichiers de logs:


Une fois que le déplacement des fichiers logs et de la base de donnée est terminé avec succès , lancer la commande net start ntds pour démarrer les services active directory:


Publié par à Aucun commentaire:

mardi 10 janvier 2017

Automatic Site Coverage

Automatic Site Coverage permet à un site active directory sans contrôleur de domaine d'être couvert par un contrôleur de domaine d’un autre site et le considérer le contrôleur de domaine le plus proche

Pour que les sites sans contrôleur de domaine soient couverts par un contrôleur de domaine d'un autre site via le mécanisme Automatic Site Coverage, il faut créer une liaison de site et ajouter au moins un site qui possède un contrôleur de domaine.
Le contrôleur de domaine le plus est définit en fonction du cout du lien de site.

Par défaut, Automatic Site Coverage est activé sous les contrôleurs de domaine R/W, et désactivé sur les contrôleurs de domaine en lecture seul.

Pour empêcher un contrôleur de domaine à couvrir les sites sans contrôleur de domaine, il faut ajouter la clé de registre suivante:


Nom
AutoSiteCoverage
Type
REG_DWORD
Data
0
Emplacement
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\ 



On peut aussi définir une liste de site sur un contrôleur de domaine pour les couvrir, via la clé de registre suivante:

Nom
SiteCoverage
Type
REG_MULTI_SZ
DATA
Les noms des sites AD
Emplacement
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters


Publié par à Aucun commentaire:

dimanche 8 janvier 2017

Installer un contrôleur de domaine en lecture seul sous Windows 2016 dans un nouveau site Active Directory

L'installation d'un contrôleur de domaine en lecture seul RODC est recommandée dans les cas suivants:

  • Un petit site avec un nombre d’utilisateur limité
  • Un site non protégé contre le vol du serveur
  •  Déléguer à administrateur le droit d'administration local sur  le serveur RODC sans donner des privilèges supplémentaires dans le domaine.

Pré-requis:

  •  Un RODC peut être installé sur  Windows 2008/2008R2/2012/2012R2/2016 
  • Le niveau fonctionnel du domaine est 2003
  • Au moins un contrôleur de domaine R/W installé sur Windows 2008 ou plus.
  • Les contrôleurs de domaine sous Windows 2003 ne sont pas capable de reconnaitre les RODC, pour cela il est recommandé si vous l’avez de désactiver l’option Automatic site coverage, ou bien installer le KB944043 


A partir de la version Windows 2012  adprep se lance automatiquement pendant l'installation du premier contrôleur du domaine RODC.

Installer un RODC dans un nouveau site active directory:


Dans cette partie, on va montrer comment installer un serveur RODC sur un nouveau site pour gérer les demandes d'authentification des clients.
Pour cela on a monté deux machines virtuelles : DC2016-2 va jouer le rôle du contrôleur de domaine R/W et RODC2016 sera notre prochain RODC

Depuis la console Site et services du DC2016-2 ,on a créé un nouveau subnet 192.168.1.1/32 et l'attaché au nouveau site nommé RODC-SITE :


le Subnet 192.168.1.1/32 contient une seule adresse IP, c'est l'adresse IP du RODC.

Maintenant, on va vérifier les paramètres IP du serveur RODC et la résolution DNS du nom du domaine lab.lan:



Après la vérification DNS, on lance l'installation du contrôleur de domaine RODC en mode graphique. 
On commence par l'installation des outils d'administration active directory, voici les étapes à suivre:

Depuis le gestionnaire de serveur on clique sur Add roles and features:



On clique sur Next:


On clique sur next:



On clique sur next :


On coche le rôle Active Directy Domain Services , une fenêtre va s'afficher avec la liste des fonctionnalités à ajouter , on clique sur Add Features:



On clique sur Next:





On clique sur Next:




On clique sur Next:





On clique sur Install:



On clique sur Promote this server to a domain controller pour commencer la promotion du contrôleur de domaine sur le serveur RODC:



On clique sur Next:



On coche l'option Read only domain controller (RODC) , on sélectionne le site RODC et on tape le mot de passe DSRM, puis on clique sur Next:


Dans cette fenêtre  ,on définit les comptes ordinateurs et utilisateurs autorisés de répliquer leurs mots de passe sur le serveur RODC:


On clique sur Next:



On clique sur Next:


On clique sur Next:


Après la vérification des pré-requis , on clique sur Install:


Une fois l’installation terminé, voici ce qu'on obtient  :




 Configurer la liste des objets active directory (utilisateurs et ordinateurs) autorisée de s'authentifier via RODC:

Pas tous les objets active directory autorisés pour s'authentifier à travers  RODC. il faut déclarer la liste des objets autorisée de réplication leurs mots de passe vers RODC dans l'onglet Password Replication Policy. Dans cette liste on peut définir que des utilisateurs , des ordinateurs et des groupes locaux:


J'ai créé deux utilisateurs Thameur BOURBITA (lab\tb) et lab\test, j'ai autorisé que l'utilisateur lab\tb pour répliquer son mot de passe sur RODC2016. Maintenant si on se connecte sur RODC2016 via le compte LAB\tb, comme indiqué dans la figure ci-dessus, l'utilisateur a bien contacté le serveur RODC2016 pour l'authentification:




Par contre si on se connecte via le compte lab\test sur le même serveur RODC2016, l'utilisateur va contacter le DC2016-2 pour effectuer l'authentification comme le montre la figure ci-dessous:




Publié par à Aucun commentaire:

jeudi 5 janvier 2017

Pré-créer le compte RODC avant l'installation



Dans cet article je vous explique comment on peut créer et préparer un compte pour le contrôleur de domaine en lecture seul avant son installation.

  • Créer un compte de contrôleur de domaine en lecture seule depuis la console Utilisateurs et ordinateurs Active Directory:


Pour créer et configurer un compte de domaine en lecture seule , on va utiliser la console Utilisateurs et Ordinateurs Active Directory et suivre les différentes étapes mentionnées ci-dessous:

Depuis la console Utilisateurs et Ordinateurs Active Directory, allez vers l'OU Domain Controller , à travers le boutton droit de la souris cliquer sur Créer au préable un compte de contrôleur de domaine en lecture seule:





Cliquer sur suivant:




Cliquer sur suivant:






Taper le nom du serveur RODC et cliquer sur suivant:





Définir le site sur lequel le contrôleur de domaine RODC sera attaché et cliquer sur suivant: 




Cocher les options supplémentaires et cliquer sur suivant: 






Définir un groupe ou un utilisateur pour gérer ce serveur, puis cliquer sur suivant:




Cliquer sur suivant:




Cliquer sur Terminer:




Une fois que toutes les étapes mentionnés ci-dessus bien exécutées, on va constater l’apparition d'un nouveau compte RODC désactivé dans l'unité d'organisation des contrôleur de domaine.  




  • Installation de l'assistant active directory sur Windows 2016:

Après avoir créé le compte du contrôleur de domaine en lecture seul, maintenant on va lancer la promotion du contrôleur de domaine RODC depuis un serveur Windows 2016.
Ci-dessous les étapes d'installation depuis l'assistant configuration des services de domaine Active Directory après avoir terminé l'installation les outils d'administration active directory. 

Dans la fenêtre ci-dessous il faut mentionner le domaine et le compte d'installation:


Dans cette étape , un message d'avertissement indique qu'il existe un compte RODC déjà créé , on coche l'option utiliser le compte RODC existant et cliquer sur suivant:


On définit le contrôleur de domaine qui va assurer la première réplication, et cliquer sur suivant:




Ici on définit l'emplacement les ressource du contrôleur de domaine en lecture seul


Cliquer sur suivant:




Une fois toutes les étapes de validations sont validées , cliquer sur Installer:








Publié par à Aucun commentaire:
Inscription à : Articles (Atom)