Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archive for the ‘3-WINDOWS SERVER 2008’ Category

Nouveaux Stencils Visio pour Exchange 2013

Posted by David ANDRE le janvier 21, 2013


Microsoft vient de rendre disponible un nouveau panel de Stencils Visio pour Exchange 2013.

Ces stencils vous permettrons d’habiller vos schéma Visio avec les derniers icones de la wave 2013 J.

Pour les télécharger, c’est ici : http://www.microsoft.com/en-us/download/details.aspx?id=36448

Pour rappel, Microsoft avait publié un panel de stencils Office 2013 (avec des icônes Sharepoint/Lync/Exchange/Suite Office 2013) le mois dernier. Vous les trouverez ici : http://www.microsoft.com/en-us/download/details.aspx?id=35772

Have Fun J
David ANDRE

Posted in - Outils | Leave a Comment »

Outil de restauration Active Directory

Posted by David PEKMEZ le avril 14, 2010


Voici un second article concernant un outil gratuit bien pratique à mon avis,

N’avez-vous jamais fais une erreur en supprimant un compte, un OU, un groupe dans Active Directory et fais une restauration en redémarrant un DC puis en utilisant la méthode Microsoft ?

Certes fonctionnant bien mais bien lourde pour un simple compte utilisateur a restaurer..

Il existe aujourd’hui des moyens de se prémunir d’erreurs éventuelles de suppression d’objets au sein d’Active Directory, la protection contre les suppressions accidentelles, qui permet déjà de bien se protéger contre les mauvaises manipulations


Maintenant une fois l’objet supprimé ? Que faire ?

Solution intégrée avec Windows 2008 R2 : la corbeille Active Directory dont voici une présentation

La seconde solution est l’utilisation d’un outil développé par la société Quest Software, société bien connu dans l’écosystème Microsoft, notamment pour ses outils de migration Active Directory ou Exchange Server.

Je vais présenter brièvement dans cet article l’outil Quest Object Restore for Active Directory

Vous pouvez le télécharger sur le site de Quest

Le gros avantage de cet outil est de présenter une console graphique permettant de gérer et bien entendu restaurer des objets Active directory en un clic et sans redémarrer vos contrôleurs de domaine.

Maintenant, comme tout outil gratuit il présente certaines limitations, vous devrez vous enregistrer de nouveau sur le site de Quest Software tous les 6 mois et désinstaller puis réinstaller une nouvelle version.

Cette version est aussi limitée en termes technique par rapport à la version payante du produit, vous pourrez trouver toutes ces informations sur le site Quest en cas de besoin.

L’installation est très simple à réaliser donc je vais passer cette étape, rien de spécifique


Une fois l’outil installé lancez la console de l’outil


Une fois la console lancée, connectez-là à votre domaine et la voici apparaître avec deux objets supprimés


 

Afin de restaurer un objet, il suffit de faire un clic droit dessus et sélectionner « Restore »


Idem dans le cas de la suppression d’une OU avec des utilisateurs dedans


En restaurant un utilisateur de cette OU, celle-ci est automatiquement restaurée avec l’utilisateur

N’oubliez pas tout de même de sauvegarder vos contrôleurs de domaine !

David Pekmez

Posted in 3-WINDOWS SERVER 2008 | 1 Comment »

Tools: Fine-grained Password Policies

Posted by David PEKMEZ le avril 6, 2010


Un petit post aujourd’hui pour vous présenter un outil gratuit dans sa version « limitée ».

Cet outil est Specops Password Policy Basic, celui-ci vous permettra de gérer vos règles de gestion de mots de passe à l’aide d’une console graphique.

Le téléchargement de l’outil se fait via le site web de la société.

L’installation se fait très simplement, pas de configuration spécifique


Une fois l’outil installé, lancez le menu « programmes »


Vous pouvez à partir de cette console, créer, modifier ou supprimer des règles de mots de passe et les affecter à différents groupes ou utilisateurs.

Dans mon exemple, je désire créer deux stratégies de mots de passe afin qu’elles s’appliquent pour l’une aux utilisateurs du domaine et pour l’autre au personnel informatique.

Pour cela je créé deux groupes globaux dans lequel je vais intégrer les utilisateurs

Le groupe ITPassSec destiné à la population informatique et le groupe UsersPassSec destiné aux utilisateurs de la société ; J’y intègre les utilisateurs comme ci-dessous :


Et Je créé via la console, une nouvelle stratégie de mots de passes, que j’applique au groupe en question


Je peux même vérifier de façon graphique la portée des stratégies et vérifier qu’elles s’appliquent correctement aux utilisateurs concernés


Ou encore vérifier la stratégie appliquée à un utilisateur précis


Bien entendu toute cette configuration s’appuie sur les nouvelles fonctionnalités de stratégies de mot de passe de Windows 2008, vous pourrez donc accéder aux informations via adsiedit par exemple

Et voir la configuration des stratégies crées via l’outil graphique.


 


Voici donc un outil très intéressant, nous permettant de gérer graphiquement les stratégies de mots de passe de Windows 2008.

Bien entendu, celui-ci étant gratuit, certaines limitations sont apportées à l’outil, notamment l’application d’une stratégie à tous les utilisateurs d’une OU etc ..

Références TechNet :

AD DS: Fine-Grained Password Policies

Note:

Afin d’éviter une erreur de type « Object reference not set to an instance of an object » lors de la création de la stratégie quand ou voulez la lier à un groupe, il vous faudra créer la stratégie, puis ensuite la modifier pour l’affecter à un groupe, vous ne pouvez pas faire les deux choses en une fois.

David Pekmez

Posted in 3-WINDOWS SERVER 2008, Outils-2010 | Leave a Comment »

Forest Recovery AD 2008

Posted by Arnaud DUTEIL le décembre 17, 2009


Voici un article présentant un scénario de récupération d’Active Directory. Vous pouvez jouer tel quel ce scénario sur une maquette pour vous familiariser avec la procédure de Recovery d’AD (en attendant d’avoir un vrai crash).

Infrastructure existante

Active Directory

L’exécution de cette procédure est très dépendante de l’infrastructure Active Directory en place. Dans le contexte de la démo, l’architecture AD Windows 2008 R2 en place est composée des éléments suivants :

  • 1 Domaine, 1 forêt : intra.domain.local
  • 2 Contrôleurs de domaine (DC1, DC2)
  • 2 Serveurs DNS (DC1, DC2)
  • 2 Global Catalog (DC1, DC2)
  • Répartition des rôles FSMO
    • Schema master (DC1)
    • Domain naming master (DC1)
    • RID master (DC1)
    • PDC emulator (DC1)
    • Infrastructure master (DC1)

       

Résultat d’un dcdiag /test:knowsofroleholders

Quelques objets sont créés dans l’AD pour le test :

 

Overview

Pré-requis

Pour réaliser cette procédure de récupération, il est nécessaire de disposer d’un backup « System State » d’un DC du domaine. Dans le cas d’une infrastructure multi-domaine, il sera nécessaire de disposer d’un DC par domaine. Le meilleur Backup sera celui qui dispose du plus grand nombre de rôles FSMO. Dans notre cas, il sera préférable d’utiliser un Backup du DC1. Cela nous affranchira des étapes de récupération des rôles FSMO manquant (Seize)

Info : Sur les environnements Windows Server 2008, les outils de backup intégré s’appellent « Windows Server Backup » et s’installent via la console des Features

Pour restaurer AD DS, il est nécessaire de disposer du mot de passe de restauration Active Directory. Ce mot de passe ayant été positionné au moment de l’installation initiale, il se peut qu’il n’ait pas été conservé. Si c’est le cas, suivre dès aujourd’hui la KB détaillée ici http://support.microsoft.com/kb/322672/en-us.

Décision

Cette procédure doit-être réalisée dans les cas suivants :

  • Tous les DC on subi une corruption logiciel ou physique qui rend l’activité de l’entreprise impossible
  • L’environnement Active Directory a été saboté
  • Une action hasardeuse a déclenché une corruption de données à travers la forêt
  • Aucun des contrôleurs de domaine ne peut répliquer avec ses partenaires
  • Aucun changement ne peut-être réalisé sur AD DS à partir des DC
  • De nouveaux DC ne peuvent être ajoutés aux domaines existants

 

Récupérer un une forêt Active Directory consiste à recréer « from scratch » AD DS sur tous les DC ou à restaurer la forêt depuis un Backup. Par conséquence, l’opération de récupération de l’AD engendre une perte de données dans la mesure où des changements ont été réalisés depuis l’exécution du dernier Backup

Macro Steps

Les étapes de la récupération sont suivantes :

  1. Backup AD DS
  2. Extinction de tous les DC
  3. Restauration du System State de DC1
  4. Récupération des Rôles FSMO (Si besoin)
  5. Nettoyage des partenaires de réplication AD (Metadata CleanUp)
  6. Installation des nouveaux contrôleurs de domaines

 

Chacune d’elle est détaillée dans la partie suivante

 

Sauvegarde

Avant de réaliser la procédure de récupération, il est important de connaitre la stratégie de sauvegarde en place pour identifier les bons backups.

 

L’opération de Backup du contrôleur de domaine se fait via Windows Backup (Wbadmin.exe). Idéalement, les fichiers de Backup sont ensuite externalisés.

Pour sauvegarder le System State d’un Contrôleur de domaine, voici la commande à utiliser :

Wbadmin start systemstatebackup –backuptarget:\\FILESERVER\BACKUP

Une fois le Backup terminé, la commande se termine avec le message :

Par défaut, les fichiers de backup générés sont identifiables de la manière suivante dans le répertoire cible:

 

Récupération AD DS

A cet instant, nous matérialisons un crash AD. A partir de cet instant, la décision est prise de restaurer l’Annuaire en suivant la procédure détaillée ci-après.

Extinction de tous les contrôleurs de domaines

Afin d’éviter toute réplication de données corrompues ou obsolètes avec l’annuaire que nous allons remonter, il est indispensable de rendre inactif tous les contrôleurs de domaines de la forêt, en particulier les détenteurs des rôles FSMO.

Restauration du premier DC

Dans notre cas, le DC à restaurer est indiscutablement le serveur DC1.intra.domain.local. Il a les rôles DNS, ainsi que tous les rôles FSMO forêt et domaine.

Dans un contexte multi-domaines, un contrôleur de domaine du domaine racine de la forêt doit être choisi car il contient à la fois la structure de la forêt (trusts) ainsi que la racine DNS intégrée à l’AD et donc les enregistrements des ressources AD.

 

Sur une nouvelle machine DC-RESTO installée en WorkGroup, nous allons restaurer le Backup de System State du serveur DC1. Mettre ce nouveau serveur en mode restauration d’annuaire

Bcdedit /set safeboot dsrepair


Lors du redémarrage, le serveur se met directement en mode Restauration d’annuaire (au lieu d’avoir à appuyer sur F8 via la console)

Le dossier de Backup peut contenir différents fichiers de Backup. Il est nécessaire pour la restauration de spécifier le fichier le plus adéquat (Attention, ce n’est pas forcément le plus récent !).

Pour retrouver le « Version Identifier » du fichier de sauvegarde que nous voulons utiliser, on exécute :

Wbadmin get versions –backuptarget:\\FILESERVER\Backup

Le nom d’identification pour mon fichier de sauvegarde préféré est « 12/07/2009-09:21″

La restauration du répertoire SYSVOL doit-être de type « Autoritaire » car ce DC sera le premier de l’annuaire. Voici la commande exécutée sur ce nouveau serveur :

wbadmin start systemstaterecovery –backuptarget:\\FILESERVER\backup –authsysvol –versions:12/07/2009-09:21

Répondre YES aux 5 avertissements :

  • Do you want to start the system state recovery operation ?
  • Do you want to continue ?

La commande se termine avec le message :

Au redémarrage, se connecter en Administrateur local de la machine. Attention, le mot de passe du compte est le mot de passe de restauration (DSRM)

Lorsque la machine redémarre, le message apparait :

Désactiver le boot en mode restauration d’annuaire :

Bcdedit /deletevalue safeboot


Configurer le serveur pour s’utiliser en tant que DNS préféré. Changer la configuration IP. Le serveur restauré est alors le premier DNS de la « nouvelle forêt »

Redémarrer le serveur pour se connecter en Administrateur du domaine (Le mot de passe est toujours le même qu’avant)

Validation / Test

Une fois restauré, le premier DC « supporte » la nouvelle forêt. Il est donc indispensable de réaliser quelques tests pour valider la pertinence de la restauration.

  • Le nom de la machine est conforme (DC1.intra.domain.local)
  • La configuration IP est valide
  • Les répertoires SYSVOL et NETLOGON sont présents et partagés
  • La Console ADUC contient les objets de l’annuaire existants avant le Backup
  • Les partenaires de réplication sont toujours visibles dans la console « Sites et Services »
  • Les enregistrements de Service sont présents dans la Zone DNS
  • ADSI Edit permet de visualiser l’intégralité des Partitions AD DS

 



Configuration initiale

Certaine actions sont requises pour initialiser l’AD, s’affranchir des anciens DC corrompus et préparer l’intégration de nouveaux serveurs.

Catalogue Global (optionnel)

Dans le cas de la restauration d’une forêt Multi-domaine, plusieurs GC sont potentiellement restaurés. Il est donc nécessaire de s’assurer dans un premier temps qu’aucun GC ne réplique des objets inexistant. Décocher la case « Global Catalog » des paramètres NTDS du serveur DC1 dans la console « Sites et Services ». Les rôles GC seront réappliqués lorsque l’opération de récupération complète sera terminée.

Pool RID

Entre le moment du Backup et de la restauration, il se peut que des « Security Principals » aient été crée dans l’AD. Ces objets ont donc récupéré un SID à leur création. Ils n’existent plus car le backup antérieur à leur création a été restauré. Pour éviter que des nouveaux utilisateurs créés récupèrent les même SID, il est essentiel d’augmenter le début de la plage du Pool RID.

Lancer ldp.exe

Cliquer sur Connection puis Connect

Renseigner le nom FQDN du serveur local

Cliquer sur Connection puis Bind et OK

 

Cliquer sur View / Tree et saisir le DN du RID Manager : CN=RID Manager$,CN=System,DC=intra,DC=domain,dc=local

Identifier la valeur de l’Attribut rIDAvailablePool et la copier

Cliquer sur Browse puis Modify

Dans le champ DN, taper

cn=RID Manager$,cn=System,dc=intra,dc=domain,dc=local

Dans le champ Attribute, taper rIDAvailablePool.

Coller la valeur identifiée précédemment et ajouter 100000 à la valeur. Si on prend les5 derniers chiffres, 422 708 devient 522 708 et cliquer sur Replace, Enter puis Run



Rôles FSMO (Optionnel)

Dans le cas de la restauration d’un DC qui n’a pas tous les rôles FSMO, il est nécessaire de les récupérer pour que tous soit présents dans la nouvelle forêt.

Dans une invite de commande, lancer NTDSUtil.exe

Taper roles

Au prompt « fsmo maintenance », taper connections

Au prompt « server connections », taper connect to server dc1.intra.domain.local

Taper quit


Taper ensuite les commandes suivantes pour récupérer chacun des rôles FSMO de la forêt et du domaine :

  • Seize schema master
  • seize naming master
  • seize infrastructure master
  • seize PDC
  • seize rid master

 






Nous avons maintenant une nouvelle forêt constituée d’un DC, DNS qui dispose de tous les rôles FSMO.

Nettoyage de l’AD (Metadata CleanUp)

Dans un AD DS 2008 ou 2008 R2, le nettoyage de la metabase Active Directory se fait de manière automatique lorsqu’on supprime un Objet de type Domain Controller.

Dans la console ADUC, ouvrir l’OU Domain Controllers

Supprimer tous les objets DC hormis DC1


Cocher la case et cliquer sur Delete


Mot de passe du compte Machine et krbtgt

En cas de DC qui seraient éventuellement encore en ligne malgré les étapes précédentes de la procédure, nous devons réinitialiser le compte machine ainsi que le compte krbtgt. On s’assure de ne pas répliquer avec des « anciens » DC

Dans une invite de commande, taper :

netdom resetpwd /server :DC1.intra.domain.local /userD:administrator /password :*


La commande doit-être exécutée 2x

Pour réinitialiser le mot de passe du compte krbtgt, se connecter à la console ADUC et faire un clique droit / change password sur le compte en question

L’action doit-être réalisée 2x



L’environnement Active Directory est désormais prêt à recevoir de nouveaux DC.

Le Serveur DC1 peut être re-promu en tant que Catalogue Global

Réinstallation des anciens DC dans la nouvelle forêt

Dans notre cas, DC 2 va être réinstallé et rejoins à la forêt via DCPROMO :




Actions restantes

Une fois l’environnement AD stable, suivant votre organisation et les raisons de la coupure, certaines actions et évolutions peuvent-être menées si besoin :

  • Ajout de Contrôleurs de domaine
  • Reconfiguration DNS
  • Répartition des rôles FSMO (aujourd’hui tous sur DC01)
  • Recréation des objets qui auraient pu être supprimés entre le Backup et la restauration
  • Ajouter des Global Catalogs
  • Changer les mots de passes des comptes à hauts privilèges (Entreprise Admins, Schema Admins), surtout en cas de sabotage
  • Sur les machines clientes, les reconnecter au domaine, soit avec un « Rejoin » ou en recréant un Secure Channel
  • Refaire les relations d’approbation vers les forêts externes

 

 

Posted in 3-WINDOWS SERVER 2008, 4-ACTIVE DIRECTORY | 1 Comment »

Adieu NewSID !

Posted by David PEKMEZ le novembre 27, 2009


Information intéressante trouvée sur le blog de Mark Russinovich,

L’utilitaire NewSID est supprimé des outils depuis début Novembre,

Le post suivant de Mark Russinovich est très instructif

http://blogs.technet.com/markrussinovich/archive/2009/11/03/3291024.aspx

Posted in 3-WINDOWS SERVER 2008 | Leave a Comment »

La corbeille Active Directory 2008 R2

Posted by David PEKMEZ le novembre 22, 2009


Windows 2008 R2 introduit de nouvelles fonctionnalités dont la Corbeille Active Directory.

Très intéressant puisque cela permet de restaurer des objets sans passer par la laborieuse restauration de type « authoritative ».

Pré requis

Le niveau de la forêt doit être « Windows 2008 R2 », ce qui implique que tous les contrôleurs de domaine de la forêt sont hébergés sur systèmes d’exploitation Windows 2008 R2

Activation de la corbeille Active Directory

De base, cette fonctionnalité n’est pas activée et une fois activée, vous ne pourrez plus faire marche arrière, il n’est pas possible de désactiver cette fonctionnalité une fois celle-ci activé.

Importez tout d’abord le module de gestion Active Directory


Pour activer la corbeille via les cmdlet Powershell pour « INTRA.NET », tapez la commande suivante.

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=intra,DC=net‘ –Scope ForestOrConfigurationSet –Target ‘intra.net

Ou encore

Enable-ADOptionalFeature « recycle bin feature » -Scope ForestOrConfigurationSet -Target « intra.net« 


Note: Remplacez le nom de la forêt de cet exemple « Intra.net » par votre nom de forêt AD 2008 R2.

Pour retrouver les informations d’utilisation de la cmdlet « Enable-ADOptionalFeature », suivez le lien ci-dessous

http://technet.microsoft.com/en-us/library/ee617209.aspx

Restauration d’un Object Active Directory

Nous allons déjà supprimer un utilisateur par exemple


Une fois supprimé, nous vérifions que l’objet est bien présent dans la corbeille Active Directory



Pour restaurer un objet Active Directory nous allons utiliser la cmdlet Restore-AdObject


Voilà l’objet est restauré ;)

Pour aller plus loin je vous propose d’aller sur le TechNet Microsoft

http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx

Bonne lecture !


 

Posted in 3-WINDOWS SERVER 2008, 4-ACTIVE DIRECTORY | 1 Comment »

Compatibilité Exchange et Windows

Posted by David PEKMEZ le août 20, 2009


Tableau récapitulatif de la compatibilité d’Exchange et les versions de Windows sur le blog de Damien CARO

http://blogs.technet.com/dcaro/archive/2009/08/12/support-de-exchange-avec-windows-2008-r2.aspx

 

Système d’exploitation

 

Active Directory

 
 

Windows 2008

Windows 2008 R2

Windows 2008

Windows 2008 R2

Exchange 2007 SP1 Supporté Non Supporté Supporté SupportéNécessite Exchange 2007 SP1 Rollup 9
Exchange 2007 SP2 Supporté Sera supporté avec

une mise à jour courant 2010

Supporté Supporté
Exchange 2010 SupportéNécessite Windows 2008 SP2 Supporté Supporté Supporté

 

N’hésitez pas à mettre ce blog dans vos favoris ! :)

Posted in 1-EXCHANGE 2010, 3-WINDOWS SERVER 2008, 4-ACTIVE DIRECTORY, EXCHANGE 2007 | Leave a Comment »

Exchange 2007 et Service Pack 2 de Windows 2008

Posted by David PEKMEZ le juin 25, 2009


Juste une petite modification à apporter à vos fichiers de configuration XML lors de la sécurisation de vos serveurs Exchange,

En effet suite à l’installation du service pack 2 de Windows 2008, il est nécessaire de modifier le paramètre ServicePackMajorVersion= »1″

En le remplacer par ServicePackMajorVersion= »2″


Vous pourrez ensuite utiliser cette commande pour enregistrer les paramètres

scwcmd register /kbname:Ex2007EdgeKB /kbfile:Exchange2007Edge_WinSrv2008.xml


Posted in 3-WINDOWS SERVER 2008, EXCHANGE 2007 | Leave a Comment »

Nouveautés Windows 2008 R2

Posted by David PEKMEZ le décembre 4, 2008


En attendant de pouvoir tester les nouvelles fonctionnalités de Windows 2008 R2,

Je vous conseille vivement une petite découverte brève mais très intéressante et très complète via des petites vidéos traitant de ces nouveautés,

http://blogs.technet.com/stanislas/archive/2008/11/28/vue-d-ensemble-windows-server-2008-r2-en-moins-de-25-min.aspx

Pour aller plus loin si ces informations vous donne envie d’en savoir plus, çà qui a été mon cas J

http://blogs.technet.com/windows7/

David

Posted in 3-WINDOWS SERVER 2008 | Leave a Comment »

Hyper-V et le NLB Microsoft sur les Hub / Cas

Posted by David PEKMEZ le septembre 17, 2008


Maintenant que le support d’Exchange en machines virtuelles à évoluer, nous allons bien entendu proposer de plus en plus souvent des solutions de virtualisation des serveurs Exchange, au moins en ce qui concerne les HUB / CAS,

oui mais … je vous propose de lire cet article, il semble que des modifications de configuration réseau d’Hyper-V soient nécessaires pour faire fonctionner un Cluster NLB, rien de bien méchant … quand on est au courant !

http://www.shudnow.net/2008/09/12/exchange-2007-unicast-nlb-issue-on-hyper-v/

Thanks Elan for Sharing !

Posted in 3-WINDOWS SERVER 2008, Cluster-2007, Virtualisation-2007 | Tagué: , | Leave a Comment »

 
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 224 autres abonnés