Retrogradation niveau fonctionnel 2008 R2

La plupart des clients sont frileux à l’idée de toucher à leur annuaire Active Directory. Il faut bien souvent attendre l’installation d’un nouveau produit ou l’apparition d’un besoin pour «imposer » le passage dans un nouveau niveau fonctionnel.

Depuis Windows 2008 R2, le niveau fonctionnel de la forêt peut revenir en niveau fonctionnel 2008, dès lors que les nouvelles fonctionnalités n’ont pas été installées. Nous pouvons illustrer cela avec le scénario suivant :

• Etape 1 : Augmentation du niveau fonctionnel de la forêt en 2008 R2
  
• Etape 2 : Rétrogradation du niveau fonctionnel en 2008
  
• Etape 3 : Augmentation du niveau fonctionnel de la forêt en 2008 R2 et Activation des nouvelles fonctionnalités apportées
  
• Etape 4 : Tentative de rétrogradation du niveau fonctionnel en 2008
  

   

  Etat initial
  

Pour visualiser le niveau fonctionnel de la forêt et du domaine, on utilise les commandes :

Get-ADForest | fl ForestMode et Get-ADDomain | fl DomainMode

Etape 1 : Augmentation du niveau fonctionnel de la forêt en 2008 R2

Le niveau fonctionnel de la forêt peut-être augmenté via la commande :

Set-adforestmode –identity intra.domain.local –forestmode Windows2008R2

Etape 2 : Rétrogradation du niveau fonctionnel en 2008

En utilisant la commande de l’étape 1, on peut faire le chemin inverse et revenir dans un niveau fonctionnel Windows 2008 :

Set-adforestmode –identity intra.domain.local –forestmode Windows2008

Etape 3 : Augmentation du niveau fonctionnel en 2008 R2 et activation de la « Recycle Bin »

Une fois avoir mis la forêt en niveau fonctionnel 2008 R2, on active les nouvelles fonctionnalités liées à ce niveau fonctionnel, la RecycleBin :

Enable-ADOptionalFeature –Identity “CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=intra,DC=DC=local” –Scope ForestConfigurationSet –Target intra.domain.local

Etape 4 : Tentative de rétrogradation du niveau fonctionnel en 2008

Si on tente de revenir dans un niveau fonctionnel 2008 alors qu’on a activé la « Recycle Bin », on obtient le message suivant :

Avant d’activer la corbeille, il est donc nécessaire d’avoir fait la recette complète du passage en 2008 R2

 

 

 

Forest Recovery AD 2008

Voici un article présentant un scénario de récupération d’Active Directory. Vous pouvez jouer tel quel ce scénario sur une maquette pour vous familiariser avec la procédure de Recovery d’AD (en attendant d’avoir un vrai crash).

Infrastructure existante

Active Directory

L’exécution de cette procédure est très dépendante de l’infrastructure Active Directory en place. Dans le contexte de la démo, l’architecture AD Windows 2008 R2 en place est composée des éléments suivants :

• 1 Domaine, 1 forêt : intra.domain.local
  
• 2 Contrôleurs de domaine (DC1, DC2)
  
• 2 Serveurs DNS (DC1, DC2)
  
• 2 Global Catalog (DC1, DC2)
  
• Répartition des rôles FSMO
  
  • Schema master (DC1)
    
  • Domain naming master (DC1)
    
  • RID master (DC1)
    
  • PDC emulator (DC1)
    
  • Infrastructure master (DC1)
    

     

Résultat d’un dcdiag /test:knowsofroleholders

Quelques objets sont créés dans l’AD pour le test :

 

Overview

Pré-requis

Pour réaliser cette procédure de récupération, il est nécessaire de disposer d’un backup “System State” d’un DC du domaine. Dans le cas d’une infrastructure multi-domaine, il sera nécessaire de disposer d’un DC par domaine. Le meilleur Backup sera celui qui dispose du plus grand nombre de rôles FSMO. Dans notre cas, il sera préférable d’utiliser un Backup du DC1. Cela nous affranchira des étapes de récupération des rôles FSMO manquant (Seize)

Info : Sur les environnements Windows Server 2008, les outils de backup intégré s’appellent « Windows Server Backup » et s’installent via la console des Features

Pour restaurer AD DS, il est nécessaire de disposer du mot de passe de restauration Active Directory. Ce mot de passe ayant été positionné au moment de l’installation initiale, il se peut qu’il n’ait pas été conservé. Si c’est le cas, suivre dès aujourd’hui la KB détaillée ici http://support.microsoft.com/kb/322672/en-us.

Décision

Cette procédure doit-être réalisée dans les cas suivants :

• Tous les DC on subi une corruption logiciel ou physique qui rend l’activité de l’entreprise impossible
  
• L’environnement Active Directory a été saboté
  
• Une action hasardeuse a déclenché une corruption de données à travers la forêt
  
• Aucun des contrôleurs de domaine ne peut répliquer avec ses partenaires
  
• Aucun changement ne peut-être réalisé sur AD DS à partir des DC
  
• De nouveaux DC ne peuvent être ajoutés aux domaines existants
  

 

Récupérer un une forêt Active Directory consiste à recréer « from scratch » AD DS sur tous les DC ou à restaurer la forêt depuis un Backup. Par conséquence, l’opération de récupération de l’AD engendre une perte de données dans la mesure où des changements ont été réalisés depuis l’exécution du dernier Backup

Macro Steps

Les étapes de la récupération sont suivantes :

1. Backup AD DS
   
2. Extinction de tous les DC
   
3. Restauration du System State de DC1
   
4. Récupération des Rôles FSMO (Si besoin)
   
5. Nettoyage des partenaires de réplication AD (Metadata CleanUp)
   
6. Installation des nouveaux contrôleurs de domaines
   

 

Chacune d’elle est détaillée dans la partie suivante

 

Sauvegarde

Avant de réaliser la procédure de récupération, il est important de connaitre la stratégie de sauvegarde en place pour identifier les bons backups.

 

L’opération de Backup du contrôleur de domaine se fait via Windows Backup (Wbadmin.exe). Idéalement, les fichiers de Backup sont ensuite externalisés.

Pour sauvegarder le System State d’un Contrôleur de domaine, voici la commande à utiliser :

Wbadmin start systemstatebackup –backuptarget:\\FILESERVER\BACKUP

Une fois le Backup terminé, la commande se termine avec le message :

Par défaut, les fichiers de backup générés sont identifiables de la manière suivante dans le répertoire cible:

 

Récupération AD DS

A cet instant, nous matérialisons un crash AD. A partir de cet instant, la décision est prise de restaurer l’Annuaire en suivant la procédure détaillée ci-après.

Extinction de tous les contrôleurs de domaines

Afin d’éviter toute réplication de données corrompues ou obsolètes avec l’annuaire que nous allons remonter, il est indispensable de rendre inactif tous les contrôleurs de domaines de la forêt, en particulier les détenteurs des rôles FSMO.

Restauration du premier DC

Dans notre cas, le DC à restaurer est indiscutablement le serveur DC1.intra.domain.local. Il a les rôles DNS, ainsi que tous les rôles FSMO forêt et domaine.

Dans un contexte multi-domaines, un contrôleur de domaine du domaine racine de la forêt doit être choisi car il contient à la fois la structure de la forêt (trusts) ainsi que la racine DNS intégrée à l’AD et donc les enregistrements des ressources AD.

 

Sur une nouvelle machine DC-RESTO installée en WorkGroup, nous allons restaurer le Backup de System State du serveur DC1. Mettre ce nouveau serveur en mode restauration d’annuaire

Bcdedit /set safeboot dsrepair

Lors du redémarrage, le serveur se met directement en mode Restauration d’annuaire (au lieu d’avoir à appuyer sur F8 via la console)

Le dossier de Backup peut contenir différents fichiers de Backup. Il est nécessaire pour la restauration de spécifier le fichier le plus adéquat (Attention, ce n’est pas forcément le plus récent !).

Pour retrouver le « Version Identifier » du fichier de sauvegarde que nous voulons utiliser, on exécute :

Wbadmin get versions –backuptarget:\\FILESERVER\Backup

Le nom d’identification pour mon fichier de sauvegarde préféré est “12/07/2009-09:21″

La restauration du répertoire SYSVOL doit-être de type « Autoritaire » car ce DC sera le premier de l’annuaire. Voici la commande exécutée sur ce nouveau serveur :

wbadmin start systemstaterecovery –backuptarget:\\FILESERVER\backup –authsysvol –versions:12/07/2009-09:21

Répondre YES aux 5 avertissements :

• Do you want to start the system state recovery operation ?
  
• Do you want to continue ?
  
• …
  

La commande se termine avec le message :

Au redémarrage, se connecter en Administrateur local de la machine. Attention, le mot de passe du compte est le mot de passe de restauration (DSRM)

Lorsque la machine redémarre, le message apparait :

Désactiver le boot en mode restauration d’annuaire :

Bcdedit /deletevalue safeboot

Configurer le serveur pour s’utiliser en tant que DNS préféré. Changer la configuration IP. Le serveur restauré est alors le premier DNS de la « nouvelle forêt »

Redémarrer le serveur pour se connecter en Administrateur du domaine (Le mot de passe est toujours le même qu’avant)

Validation / Test

Une fois restauré, le premier DC « supporte » la nouvelle forêt. Il est donc indispensable de réaliser quelques tests pour valider la pertinence de la restauration.

• Le nom de la machine est conforme (DC1.intra.domain.local)
  
• La configuration IP est valide
  
• Les répertoires SYSVOL et NETLOGON sont présents et partagés
  
• La Console ADUC contient les objets de l’annuaire existants avant le Backup
  
• Les partenaires de réplication sont toujours visibles dans la console « Sites et Services »
  
• Les enregistrements de Service sont présents dans la Zone DNS
  
• ADSI Edit permet de visualiser l’intégralité des Partitions AD DS
  

 

Configuration initiale

Certaine actions sont requises pour initialiser l’AD, s’affranchir des anciens DC corrompus et préparer l’intégration de nouveaux serveurs.

Catalogue Global (optionnel)

Dans le cas de la restauration d’une forêt Multi-domaine, plusieurs GC sont potentiellement restaurés. Il est donc nécessaire de s’assurer dans un premier temps qu’aucun GC ne réplique des objets inexistant. Décocher la case « Global Catalog » des paramètres NTDS du serveur DC1 dans la console « Sites et Services ». Les rôles GC seront réappliqués lorsque l’opération de récupération complète sera terminée.

Pool RID

Entre le moment du Backup et de la restauration, il se peut que des « Security Principals » aient été crée dans l’AD. Ces objets ont donc récupéré un SID à leur création. Ils n’existent plus car le backup antérieur à leur création a été restauré. Pour éviter que des nouveaux utilisateurs créés récupèrent les même SID, il est essentiel d’augmenter le début de la plage du Pool RID.

Lancer ldp.exe

Cliquer sur Connection puis Connect

Renseigner le nom FQDN du serveur local

Cliquer sur Connection puis Bind et OK

 

Cliquer sur View / Tree et saisir le DN du RID Manager : CN=RID Manager$,CN=System,DC=intra,DC=domain,dc=local

Identifier la valeur de l’Attribut rIDAvailablePool et la copier

Cliquer sur Browse puis Modify

Dans le champ DN, taper

cn=RID Manager$,cn=System,dc=intra,dc=domain,dc=local

Dans le champ Attribute, taper rIDAvailablePool.

Coller la valeur identifiée précédemment et ajouter 100000 à la valeur. Si on prend les5 derniers chiffres, 422 708 devient 522 708 et cliquer sur Replace, Enter puis Run

Rôles FSMO (Optionnel)

Dans le cas de la restauration d’un DC qui n’a pas tous les rôles FSMO, il est nécessaire de les récupérer pour que tous soit présents dans la nouvelle forêt.

Dans une invite de commande, lancer NTDSUtil.exe

Taper roles

Au prompt « fsmo maintenance », taper connections

Au prompt « server connections », taper connect to server dc1.intra.domain.local

Taper quit

Taper ensuite les commandes suivantes pour récupérer chacun des rôles FSMO de la forêt et du domaine :

• Seize schema master
  
• seize naming master
  
• seize infrastructure master
  
• seize PDC
  
• seize rid master
  

 

Nous avons maintenant une nouvelle forêt constituée d’un DC, DNS qui dispose de tous les rôles FSMO.

Nettoyage de l’AD (Metadata CleanUp)

Dans un AD DS 2008 ou 2008 R2, le nettoyage de la metabase Active Directory se fait de manière automatique lorsqu’on supprime un Objet de type Domain Controller.

Dans la console ADUC, ouvrir l’OU Domain Controllers

Supprimer tous les objets DC hormis DC1

Cocher la case et cliquer sur Delete

Mot de passe du compte Machine et krbtgt

En cas de DC qui seraient éventuellement encore en ligne malgré les étapes précédentes de la procédure, nous devons réinitialiser le compte machine ainsi que le compte krbtgt. On s’assure de ne pas répliquer avec des « anciens » DC

Dans une invite de commande, taper :

netdom resetpwd /server :DC1.intra.domain.local /userD:administrator /password :*

La commande doit-être exécutée 2x

Pour réinitialiser le mot de passe du compte krbtgt, se connecter à la console ADUC et faire un clique droit / change password sur le compte en question

L’action doit-être réalisée 2x

L’environnement Active Directory est désormais prêt à recevoir de nouveaux DC.

Le Serveur DC1 peut être re-promu en tant que Catalogue Global

Réinstallation des anciens DC dans la nouvelle forêt

Dans notre cas, DC 2 va être réinstallé et rejoins à la forêt via DCPROMO :

Actions restantes

Une fois l’environnement AD stable, suivant votre organisation et les raisons de la coupure, certaines actions et évolutions peuvent-être menées si besoin :

• Ajout de Contrôleurs de domaine
  
• Reconfiguration DNS
  
• Répartition des rôles FSMO (aujourd’hui tous sur DC01)
  
• Recréation des objets qui auraient pu être supprimés entre le Backup et la restauration
  
• Ajouter des Global Catalogs
  
• Changer les mots de passes des comptes à hauts privilèges (Entreprise Admins, Schema Admins), surtout en cas de sabotage
  
• Sur les machines clientes, les reconnecter au domaine, soit avec un « Rejoin » ou en recréant un Secure Channel
  
• Refaire les relations d’approbation vers les forêts externes
  

 

 

La corbeille Active Directory 2008 R2

Windows 2008 R2 introduit de nouvelles fonctionnalités dont la Corbeille Active Directory.

Très intéressant puisque cela permet de restaurer des objets sans passer par la laborieuse restauration de type « authoritative ».

Pré requis

Le niveau de la forêt doit être « Windows 2008 R2 », ce qui implique que tous les contrôleurs de domaine de la forêt sont hébergés sur systèmes d’exploitation Windows 2008 R2

Activation de la corbeille Active Directory

De base, cette fonctionnalité n’est pas activée et une fois activée, vous ne pourrez plus faire marche arrière, il n’est pas possible de désactiver cette fonctionnalité une fois celle-ci activé.

Importez tout d’abord le module de gestion Active Directory

Pour activer la corbeille via les cmdlet Powershell pour « INTRA.NET », tapez la commande suivante.

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=intra,DC=net‘ –Scope ForestOrConfigurationSet –Target ‘intra.net‘

Ou encore

Enable-ADOptionalFeature “recycle bin feature” -Scope ForestOrConfigurationSet -Target “intra.net“

Note: Remplacez le nom de la forêt de cet exemple « Intra.net » par votre nom de forêt AD 2008 R2.

Pour retrouver les informations d’utilisation de la cmdlet « Enable-ADOptionalFeature », suivez le lien ci-dessous

http://technet.microsoft.com/en-us/library/ee617209.aspx

Restauration d’un Object Active Directory

Nous allons déjà supprimer un utilisateur par exemple

Une fois supprimé, nous vérifions que l’objet est bien présent dans la corbeille Active Directory

Pour restaurer un objet Active Directory nous allons utiliser la cmdlet Restore-AdObject

Voilà l’objet est restauré ;)

Pour aller plus loin je vous propose d’aller sur le TechNet Microsoft

http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx

Bonne lecture !

 

Compatibilité Exchange et Windows

Tableau récapitulatif de la compatibilité d’Exchange et les versions de Windows sur le blog de Damien CARO

http://blogs.technet.com/dcaro/archive/2009/08/12/support-de-exchange-avec-windows-2008-r2.aspx

		Système d’exploitation			Active Directory
		Windows 2008		Windows 2008 R2	Windows 2008	Windows 2008 R2
Exchange 2007 SP1		Supporté		Non Supporté	Supporté	SupportéNécessite Exchange 2007 SP1 Rollup 9
Exchange 2007 SP2		Supporté		Sera supporté avec une mise à jour courant 2010	Supporté	Supporté
Exchange 2010		SupportéNécessite Windows 2008 SP2		Supporté	Supporté	Supporté

 

N’hésitez pas à mettre ce blog dans vos favoris !

Techdays 2009

Petit point sur les Techdays 2009 et les sessions à ne pas louper J

Sachez pour commencer que les membres de la communauté seront présents et qu’il y aura un stand dédié !

Il est toujours bon de voir se qui se passe dans les parages ;)

Les MVP seront aussi speakers donc n’hésitez pas à vous inscrire à leurs sessions :

Je pense entre autre à ces présentations ci-dessous :

Les sessions MVP

- Migration et coexistence avec Exchange Online
Animé par Arnaud Alcabez
Le mercredi 11 février 2009, 14H30 – 15H30

- Sauvegarde d’Exchange 2007 et archivage des messages
Animé par Laurent Teruin
Le mercredi 11 février 2009, 16H00- 17H00.

- Quoi de neuf autour des conférences (audio, vidéo, web) avec Office Communications Server 2007 R2 ?
Animé par Pascal Creusot
Le jeudi 12 février 2009, 13H00- 14H00.

Les autres sessions à ne pas manquer

- Vue d’ensemble d’Office Communications Server 2007 R2 (COL125)
Animé par Gwénaël Fourre, Christian Fumey
Le mercredi 11 février 2009, 13H00 – 14H00

- Déploiement et Migration vers Office Communications Server 2007 R2
Animé par Plizga Stefan
Le jeudi 12 février 2009, 11H00 – 12H00

- Défense en profondeur d’une infrastructure de Communications Unifiées  (SEC202)
Animé par Nicolas Lieutenant, Christophe Vallee
Le jeudi 12 février 2009, 13H00 – 14H00

- Migration et coexistence avec Exchange Online

- Découverte et mise en œuvre des services Microsoft Online (BPOS)
- Q&A : Exchange Server 2007 SP1 et  la virtualisation (Hyper-V, VMWare …)

 

Et bien entendu les speakers Microsoft à ne pas louper

- Mobilité et Accès Web avec Office Communications Server 2007 R2 (CWA, COMO, …)
Animé par Damien Caro
Le mercredi 11 février 2009, 17H30- 18H30.

- Développer des applications autour des communications unifiées  (COL205)
Animé par Damien Caro, Nicolas Clerc
Le mardi 10 février 2009, 16H00 – 17H00

Pour vous inscrire vous devez aller sur le site des Techdays 2009 en cliquant sur le lien ci-dessous
http://galilee.microsoft.fr/TechDays2009 ou sur le site Officiel http://www.microsoft.com/france/mstechdays/

Vous pourrez alors ajouter les sessions choisies dans votre agenda et il ne vous restera plus qu’à profiter pleinement de ces 3 jours !
Bien entendu il y a des chances que nous nous croisions puisque je serais quand à moi sur un stand pour faire des sessions de démonstrations d’OCS et de la fameuse et talentueuse … RoundTable J

Export des utilisateurs Active Directory dans Excel

Un petit script qui vous permettra facilement d’Exporter la liste des utilisateurs et leur propriétés dans Excel,

ce script peut très simplement être modifié suivant les informations que vous désirez remonter

‘—————————————————————-
‘  Name: Export_Users_to_Excel.vbs   
‘ Exporte les Utilisateurs AD vers Excel
‘ Pekmez David 21 Sept 2005.
‘  V2:
‘ - Optimisation de l’Autofit des cellules Excel
‘ - Enregistrement du fichier dans le répertoire courant
‘ v3:
‘ - Ajout du UserAccountControl: Enabled / Disabled
”—————————————————————–

DIM accountcontrol
Const ADS_SCOPE_SUBTREE = 2
Set objExcel = CreateObject(“Excel.Application”)
Set fso   = WScript.CreateObject(“Scripting.FileSystemObject”)
objExcel.Visible = True
objExcel.Workbooks.Add

objExcel.Cells(1, 1).Value = “Liste des Comptes ” & ” le ” & FormatDateTime(now, vbLongDate)
objExcel.Cells(1, 1).Font.Bold = TRUE
objExcel.Cells(1, 1).Font.Size = 10
objExcel.Cells(1, 1).Font.ColorIndex = 3

objExcel.Cells(2, 2).Value = “Last name”
objExcel.Cells(2, 2).Font.ColorIndex = 5
objExcel.Cells(2, 3).Value = “First name”
objExcel.Cells(2, 3).Font.ColorIndex = 5
objExcel.Cells(2, 4).Value = “samAccountName”
objExcel.Cells(2, 4).Font.ColorIndex = 5
objExcel.Cells(2, 5).Value = “Department”
objExcel.Cells(2, 5).Font.ColorIndex = 5
objExcel.Cells(2, 6).Value = “Phone number”
objExcel.Cells(2, 6).Font.ColorIndex = 5
objExcel.Cells(2, 7).Value = “Mail”
objExcel.Cells(2, 7).Font.ColorIndex = 5
objExcel.Cells(2, 8).Value = “userPrincipalName”
objExcel.Cells(2, 8).Font.ColorIndex = 5
objExcel.Cells(2, 9).Value = “distinguishedName”
objExcel.Cells(2, 9).Font.ColorIndex = 5
objExcel.Cells(2, 10).Value = “homeDirectory”
objExcel.Cells(2, 10).Font.ColorIndex = 5
objExcel.Cells(2, 11).Value = “homeDrive”
objExcel.Cells(2, 11).Font.ColorIndex = 5
objExcel.Cells(2, 12).Value = “canonicalName”
objExcel.Cells(2, 12).Font.ColorIndex = 5
objExcel.Cells(2, 13).Value = “scriptPath”
objExcel.Cells(2, 13).Font.ColorIndex = 5
objExcel.Cells(2, 14).Value = “userAccountControl”
objExcel.Cells(2, 14).Font.ColorIndex = 5
‘objExcel.Cells(2, 15).Value = “userAccountControl”
‘objExcel.Cells(2, 15).Font.ColorIndex = 5

‘ Connexion Active directory et selection des données

Set objConnection = CreateObject(“ADODB.Connection”)
Set objCommand =   CreateObject(“ADODB.Command”)
objConnection.Provider = “ADsDSOObject”
objConnection.Open “Active Directory Provider”

‘ Remplacer & “‘LDAP://dc=INTRA,dc=NET’ WHERE ” le nom de domaine

Set objCommand.ActiveConnection = objConnection
objCommand.Properties(“Page Size”) = 100
objCommand.Properties(“Searchscope”) = ADS_SCOPE_SUBTREE
objCommand.CommandText = _
    “SELECT givenName, SN, samAccountName, department, telephoneNumber, mail, userPrincipalName, distinguishedName, homeDirectory, homeDrive, canonicalName, scriptPath, userAccountControl FROM ” _
        & “‘LDAP://dc=INTRA,dc=NET‘ WHERE ” _
            & “objectCategory=’person’ AND objectClass=’user’ ORDER BY samAccountName”
Set objRecordSet = objCommand.Execute
objRecordSet.MoveFirst
x = 3

‘ Export des données vers Excel

Do Until objRecordSet.EOF
    objExcel.Cells(x, 2).Value = _
        objRecordSet.Fields(“SN”).Value
    objExcel.Cells(x, 3).Value = _
        objRecordSet.Fields(“givenName”).Value
    objExcel.Cells(x, 4).Value = _
        objRecordSet.Fields(“samAccountName”).Value
    objExcel.Cells(x, 5).Value = _
        objRecordSet.Fields(“department”).Value
    objExcel.Cells(x, 6).Value = _
        objRecordSet.Fields(“telephoneNumber”).Value
    objExcel.Cells(x, 7).Value = _
        objRecordSet.Fields(“mail”).Value
    objExcel.Cells(x, 8).Value = _
        objRecordSet.Fields(“userPrincipalName”).Value
    objExcel.Cells(x, 9).Value = _
        objRecordSet.Fields(“distinguishedName”).Value
    objExcel.Cells(x, 10).Value = _
        objRecordSet.Fields(“homeDirectory”).Value
    objExcel.Cells(x, 11).Value = _
        objRecordSet.Fields(“homeDrive”).Value
    objExcel.Cells(x, 12).Value = _
        objRecordSet.Fields(“canonicalName”).Value
    objExcel.Cells(x, 13).Value = _
        objRecordSet.Fields(“scriptPath”).Value
accountcontrol = objRecordSet.Fields(“userAccountControl”).Value

‘ Status du compte (Activé ou désactivé)

   If accountcontrol AND 2 Then
objExcel.Cells(x, 14).Value = “Disabled”
    else  objExcel.Cells(x, 14).Value = “enabled”
    end if

    x = x + 1
    objRecordSet.MoveNext
Loop

objExcel.Columns(“B:N”).Select
objExcel.Selection.Columns.AutoFit
objExcel.Range(“A1″).Select

‘ Enregistrement du fichier en “Liste des comptes du Domaine.xls”
‘ Dans le répertorie courant

ExcelFile=getpath() & “Liste des comptes du domaine” & “.xls”
If fso.FileExists(ExcelFile) Then fso.DeleteFile ExcelFile, true
objExcel.ActiveWorkbook.SaveAs ExcelFile
objExcel.ACtiveWorkbook.Saved = True
Wscript.quit

‘——————————————————————–
‘ Fonction de récupération du répertoire courant
Function GetPath()
Dim path
path = WScript.ScriptFullName
GetPath = Left(path, InStrRev(path, “\”))
End Function
‘——————————————————————–

Comment trouver les rôles FSMO ?

Voici un script en vbs qui vous permettra d’économiser quelques  clics de souris

 Set objRootDSE = GetObject(“LDAP://rootDSE“)
 
Set objSchema = GetObject _
    (“LDAP://” & objRootDSE.Get(“schemaNamingContext”))
strSchemaMaster = objSchema.Get(“fSMORoleOwner”)
Set objNtds = GetObject(“LDAP://” & strSchemaMaster)
Set objComputerSchema = GetObject(objNtds.Parent)
 
Set objNtds = Nothing
Set objComputer = Nothing
 
Set objPartitions = GetObject(“LDAP://CN=Partitions,” & _
    objRootDSE.Get(“configurationNamingContext”))
strDomainNamingMaster = objPartitions.Get(“fSMORoleOwner”)
Set objNtds = GetObject(“LDAP://” & strDomainNamingMaster)
Set objComputerNaming = GetObject(objNtds.Parent)
 
Set objDomain = GetObject _
    (“LDAP://” & objRootDSE.Get(“defaultNamingContext”))
strPdcEmulator = objDomain.Get(“fSMORoleOwner”)
Set objNtds = GetObject(“LDAP://” & strPdcEmulator)
Set objComputerPDC = GetObject(objNtds.Parent)
 
Set objRidManager = GetObject(“LDAP://CN=RID Manager$­,CN=System,” & _
    objRootDSE.Get(“defaultNamingContext”))
strRidMaster = objRidManager.Get(“fSMORoleOwner”)
Set objNtds = GetObject(“LDAP://” & strRidMaster)
Set objComputerRID = GetObject(objNtds.Parent)
 
Set objInfrastructure = GetObject(“LDAP://CN=Infrastructure,” & _
    objRootDSE.Get(“defaultNamingContext”))
strInfrastructureMaster = objInfrastructure.Get(“fSMORoleOwner”)
Set objNtds = GetObject(“LDAP://” & strInfrastructureMaster)
Set objComputerInfra = GetObject(objNtds.Parent)

MsgBox “Forest-wide Schema Master FSMO (Contrôleur de schéma): ” & replace(objComputerSchema.Name,”CN=”,”",vbtextcompare) & vbcrlf _
& “Forest-wide Domain Naming Master FSMO (Maitre d’attribution des noms de domaine): ” & replace(objComputerNaming.Name,”CN=”,”",vbtextcompare) & vbcrlf _
& “Domain’s PDC Emulator FSMO (Emulateur PDC): ” & replace(objComputerPDC.Name,”CN=”,”",vbtextcompare) & vbcrlf _
& “Domain’s RID Master FSMO (Maître RID): ” & replace(objComputerRID.Name,”CN=”,”",vbtextcompare) & vbcrlf _
& “Domain’s Infrastructure Master FSMO (Maître d’infrastructure ): ” & replace(objComputerInfra.Name,”CN=”,”",vbtextcompare) & vbcrlf,vbinformation,”Rôles FSMO”

David

Synchronisation de Global Address List (GAL)

 

Introduction

 

Cet article présente la configuration de la synchronisation de Gals entre Forêts,

Nous utiliserons en effet encore cet outil afin de synchroniser les listes d’adresses lors de migrations Exchange 2000 et 2003 vers 2007, étant la méthode supportée par Microsoft.

Cela sous entend que nous aurons besoin d’un serveur Exchange 2003 dans l’infrastructure de destination.

Le but de cette opération est de permettre de communiquer plus simplement entre des environnements Active Directory différents ;

Les pré-requis :

Vous aurez besoin d’un serveur SQL pour que l’outil IIFP puisse y stocker les informations de chaque forêt

Celui-ci peut-être un SQL 2000 ou 2005 bien entendu avec les derniers services packs installés J

 

L’environnement de test mis en place pour cet article est le suivant :

• Deux domaines Active Directory (1 DC par domaine)
  
• Deux Exchange 2003 (1 dans chaque domaine)
  
• Un Exchange Server 2007 ayant les rôles HUB, CAS et Mailbox
  

 

Configuration

 

La configuration de cet outil paraît assez complexe à première vue mais pour ce que nous voulons mettre en place, celle-ci est assez basique,

Une fois l’installation de IIFP,

Lançons-le pour passer à la configuration,

 

Tout d’abord, allons dans « Tools » puis « Options » afin d’activer le « Provisionning Rules Extension »

 

Il va falloir maintenant créer deux agents (un pour chaque forêt)

Note : La démonstration qui suit présente la configuration d’une forêt, une fois terminé, vous devrez créer un autre agent et refaire la configuration pour la seconde forêt !

 

Pour cela cliquer sur « Management Agents » puis « create » dans le menu à droite

 

Des templates sont déjà créés par Microsoft pour synchroniser des listes d’adresses entre forêts,

Il faut choisir « Active Directory global address list (GAL) » et donner un nom à l’agent.

Entrer les informations de connexion à l’une des forêts puis allez dans les options afin de désactiver

L’encryption du traffic LDAP en désactivant “Sign and Encrypt LDAP Traffic”

 

Cliquer sur « Next » pour passer à la suite de la configuration

Une fois connecté à Active Directory, l’outil vous propose une partition de domaine, dans mon exemple : DC=Intra,DC=net, cochez là puis cliquez sur « Containers »

Nous pourrons y choisir les OU ou Unités Organisationnelles à prendre en compte pour la synchronisation de listes d’adresses.

Ici, tous les utilisateurs se trouvent dans l’ OU « Utilisateurs », l’OU « Sync » va me permettre de stocker les contacts de ma seconde forêt, cette OU est donc pour le moment vierge de tout objet.

Cliquer sur « OK » et sur « Next » afin de poursuivre

Cliquer sur « Target », celui-ci représente l’endroit ou seront stockés les contacts de la forêt distante, donc comme expliqué au-dessus, je dois sélectionner mon OU « Sync ».

Mon OU à prendre en compte pour l’export est mon OU « Utilisateurs », cliquer sur « Source » et sélectionner l’OU ou sont stockés les utilisateurs

Dans l’écran ci-dessous, il faut entrer le suffix Mail du domaine local

 

La suite de la configuration est bien plus simple, il suffit en effet de laisser les options par défaut

 

 

Cliquer sur « finish » pour terminer la configuration puis recommencer la même configuration en créant un nouvel agent pour la seconde forêt.

Une fois l’opération terminée, passons à la réplication des informations !

 

Réplication des Global Address list entre les forêts

 

Les opérations suivantes sont à exécuter sur les deux agents à chaque fois ;

Tout d’abord pour chaque agent, cliquer sur « RUN » puis choisir « Full import (Stage Only) »

Répéter ensuite l’opération « RUN » mais en choisissant « Delta Synchronisation »

Passons maintenant à l’export des données en cliquant sur « RUN » puis « Export »

La dernière opération consiste en un import des données, cliquer sur « RUN » puis « Delta Import »

Une fois les données synchronisées vous verrez apparaître les contacts des forêts distantes dans les OU précédemment choisies J

Et ils apparaitront bien entendu dans votre Global Address list

Cet article décrit juste une petite partie des possibilités de l’outil IIFP mais si vous désirez aller plus loin pour connaître cet outil et MIIS (payant mais permet de faire encore plus comme des synchronisations entre active Directory et d’autres environnement informatique, très pratique pour les migrations vers AD !)

 

Liens Utiles

Téléchargement de IIFP

http://www.microsoft.com/downloads/details.aspx?familyid=d9143610-c04d-41c4-b7ea-6f56819769d5&displaylang=en

 

Microsoft Identity Integration Server 2003 (MIIS 2003) Technical Library

http://technet2.microsoft.com/windowsserver/en/library/afd7e1a3-2f5a-47ae-bdd3-e9784cb511321033.mspx

 

Planification d’une organisation Exchange complexe

http://www.microsoft.com/technet/prodtechnol/exchange/E2k7/FR/Help/ExchHelp/0bd2ffaa-88c7-4dc1-81f0-6fd77b9e08a7.mspx

Mise à niveau vers Exchange 2007

http://www.microsoft.com/technet/prodtechnol/exchange/E2k7/FR/Help/ExchHelp/a313c016-0e51-466e-a3de-953e1e0d347d.mspx

 

Migration Active Directory de Windows 2000 / 2003 vers Windows 2008

 

Introduction

Une nouvelle version de Windows étant sortie cette année, nous allons voir à travers cet article comment migrer votre infrastructure Windows 200x vers 2008.

Présentation de Windows 2008

Pourquoi Migrer ?

 

Windows 2008 apporte pas mal de nouveautés qui pourraient faciliter l’administration de vos parcs informatiques, voici une brève présentation des nouveautés de ce système d’exploitation,

Pour plus de renseignements sur ce système, visitez le site Windows 2008

Les nouveautés

 

Stratégies de mot de passe

 

Les systèmes précédents ne permettent de définir qu’une seule stratégie de mot de passe pour toute l’infrastructure, avec Windows 2008 vous pouvez mettre en place plusieurs stratégies de mot de passe pour différentes populations.

Elles peuvent s’appliquer sur des groupes globaux ou sur des utilisateurs.

Pour pouvoir utiliser cette nouvelle fonctionnalité, vous devez être en mode Windows 2008, ce qui implique que tous vos contrôleurs de domaines sont en Windows 2008.

Read Only DCs

 

Windows 2008 introduit une nouvelle fonctionnalité intéressante en terme de gestion, les contrôleurs de domaine en lecture seule sont des contrôleurs de domaine sur lesquels aucune modification de la base Active Directory ne peut être faite.

Ceci peut présenter un intérêt non négligeable si ces contrôleurs de domaine sont placés dans une partie de votre infrastructure considérée comme sensible (DMZ / ou encore Branch Office)

Attention toutefois, certaines application comme Exchange Server ne peuvent pas se servir de contrôleurs de domaines en lecture seule et nécessitent des contrôleurs de domaine traditionnels.

Pour plus d’informations : http://technet2.microsoft.com/windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033.mspx?mfr=true

Terminal Services 2008

 

La publication d’application est devenu très simple à l’aide de Windows 2008, et notamment les nouveautés concernant les services TSE.

Aperçu des nouveautés

http://technet2.microsoft.com/windowsserver2008/en/library/ddef2b89-73cf-4d74-b13b-47890fd1a6271033.mspx?mfr=true

Protection d’Active Directory

 

Une nouvelle fonctionnalité vous permet de protéger les objets Active Directory contre les modifications accidentelles, ci-dessous, une Unité Organisationnelle étant protégée.

Comment Migrer Active Directory

 

Les migrations Active Directory vers Windows 2008 ne sont pas très complexes dans le sens ou les mêmes méthodes de migration étant utilisées sont les même que pour les migrations précédentes, de Windows 2000 vers Windows 2003.

Depuis quels systèmes

 

• Windows NT4 :
  

   

  • Il n’est pas possible de migrer directement de NT4 vers Windows 2008, vous devrez soit migrer dans un premier temps vers Windows 2003 puis vers Windows 2008, soit utiliser des outils de sociétés spécialisées.
    

   

• Windows 2000 :
  
  • Les serveurs doivent être en service pack 4
    
  • Mise à jour du schéma à l’aide de l’utilitaire ADPREP.exe
    
  • Mise à jour des domaines à l’aide de l’utilitaire ADPREP.exe
    

     

• Windows 2003 :
  
  • Migration depuis toutes les versions de Windows 2003
    
  • Il est recommandé d’utiliser des systèmes à jour (SP2 lors de l’écriture de cet article)
    

     

 

La migration

 

Mise à jour du Schéma

 

Nous devons tout d’abord commencer par mettre à jour le schéma de l’Active Directory de production,

Pour cela, insérez le CD de Windows 2008 sur votre contrôleur de domaine ayant le rôle Schéma Master, naviguez dans les répertoires « Source\Adprep » et exécutez la commande suivante :

Adprep /forestprep

PS : il est recommandé d’arrêter les réplications active directory le temps de l’opération, ceci est faisable à l’aide de l’utilitaire repadmin

repadmin /options <DC NAME> +DISABLE_OUTBOUND_REPL

il est possible de retirer le câble réseau du contrôleur de domaine le temps de la mise à jour du schéma, çà marche très bien J

Vérification de la mise à jour

Un container est créé, vérifier sa présence

CN=Windows2003Update,CN=ForestUpdates,CN=Configuration,DC=<forest_root_domain>

Une fois la mise à jour réussie, rebranchez le câble réseau pour autorisez de nouveau les réplications sortantes à l’aide de repadmin puis vérifiez que les modifications sont bien répliquées sur les autres contrôleurs de domaines à l’aide de l’outil replmon par exemple

Ref : Aide sur l’utilisation de Replmon

http://www.mcmcse.com/microsoft/guides/replmon.shtml

http://technet2.microsoft.com/windowsserver/en/library/691910f2-a6a7-4ced-984e-972aec2cbdd21033.mspx?mfr=true

Comment troubleshooter des problèmes de réplication

http://technet2.microsoft.com/windowsserver/en/library/22764cb5-9860-4f8f-95e7-337df24edf741033.mspx?mfr=true

Mise à jour du domaine

 

Une fois le schéma à jour, nous allons préparer les domaines à l’aide de la commande

Adprep /domainprep

Cette commande doit être exécutée sur le contrôleur de domaine ayant le rôle « Infrastructure Master »

Vérification de la mise à jour

CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=<domain>

Mise à jour Group Policy

Adprep /domainprep /gpprep

Mise à jour pour les RODC (Read Only Domain Controllers)

Les domaines doivent être mis à jour pour pouvoir installer des contrôleurs de domaines en lecture seule.

Exécutez cette commande sur un contrôleur de domaine du domaine.

Adprep /rodcprep

Installation du premier contrôleur de domaine Windows 2008

 

Nous pouvons maintenant installer un nouveau contrôleur de domaine Windows 2008 dans le domaine,

Deux chemins de migration sont possibles :

• Mettre à jour un contrôleur de domaine
  
• Mettre un serveur Windows 2008 dans le domaine puis exécuter DCPROMO pour le promouvoir en contrôleur de domaine.
  

Dans cet article, j’utiliserai le second scénario pour voir une installation d’un contrôleur de domaine Windows 2008 de bout en bout.

Une fois votre serveur membre du domaine Active Directory, cliquez sur Exécuter puis tapez « DCPROMO »

Cliquez sur « Suivant »

Cliquez sur « Suivant »

Choisissez de rejoindre une forêt existante et cliquez sur « Suivant »

Le nom du domaine doit apparaître, Cliquez sur « Suivant »

Cliquez sur « Suivant »

Le site auquel appartiendra le DC apparaît, Cliquez sur « Suivant »

Choisissez les rôles de votre contrôleur de domaine et cliquez sur « Suivant »

Cliquez sur « Suivant »

Choisissez un mot de passe de restauration et cliquez sur « Suivant »

Vérifier le résumé de la configuration et Cliquez sur « Suivant »

Active Directory est en cours d’installation, patientez jusqu’à ce que l’écran ci-dessous apparaisse

Cliquez sur « Terminer » puis « Redémarrer maintenant »

Déplacement des Rôles FSMO

 

Vous pouvez lire cet article correspondant aux opérations ci-dessous

Afficher et transférer des rôles FSMO dans l’interface graphique utilisateur

http://support.microsoft.com/kb/255690

Rôle Schéma Master

 

Une fois redémarré, cliquez sur exécuter puis tapez la commande suivante afin de rendre disponible le snap-in de gestion du Schéma Active Directory

Regsvr32 schmmgmt.dll

 

Cliquez sur « Exécuter » puis tapez « MMC »

Ajouter ensuite le snap-in « Active Directory Schema »

Connectez-vous ensuite au nouveau contrôleur de domaine en faisant un clic droit sur « Active Directory Schema »cliquez sur « Changer de contrôleur de domaine » et sélectionnez le nouveau contrôleur de domaine puis cliquez sur « OK »

Cliquez ensuite sur « Maîtres d’opérations »

Cliquez sur « Changer » afin de récupérer le rôle Schéma Master sur ce nouveau contrôleur de domaine.

Cliquer sur « Oui » pour valider le déplacement du rôle

Rôle Maître de Nommage

 

De la même façon mais à l’aide de la console « Domains and trusts » nous allons déplacer le rôle de maître de Nommage.

Changer de contrôleur de domaine puis sélectionnez « Operations Master »

Validez ensuite le changement

 

Rôles RID, Infrastructure Master et PDC

 

Les trois autres rôles peuvent être récupérés à l’aide la même console, « Utilisateurs et Ordinateurs Active Directory »

Faites un clic droit sur le nom de votre domaine, ici INTRA.NET et sélectionnez « Operations Master »

Sur chaque Onglet (pour chaque rôle) cliquez sur « Changer » puis validez la modification.

Une petite explication s’impose sur cet avertissement, lisez attentivement l’article Microsoft

Placement et optimisation des rôles FSMO sur les contrôleurs de domaine Active Directory

http://support.microsoft.com/kb/223346

Recommandations générales relatives au placement FSMO

	Placez les rôles d’émulateur PDC et de maître RID sur le même contrôleur de domaine. Il est également plus facile d’assurer le suivi des rôles FSMO si vous les groupez sur un plus petit nombre d’ordinateurs. Si la charge sur le rôle FSMO principal justifie un déplacement, placez les rôles d’émulateur PDC et de maître RID sur des contrôleurs de domaine distincts dans le même domaine et le même site Active Directory et qui sont des partenaires de réplication directs.
	En règle générale, le maître d’infrastructure doit se trouver sur un serveur de catalogue non global qui a un objet de connexion directe vers un catalogue global dans la forêt, de préférence dans le même site Active Directory. Le serveur de catalogue global contenant un réplica partiel de chaque objet de la forêt, le maître d’infrastructure, s’il est placé sur un serveur de catalogue global, ne mettra jamais rien à jour car il ne contient aucune référence aux objets qu’il ne contient pas. Il existe deux exceptions à la règle « ne jamais placer le maître d’infrastructure sur un serveur de catalogue global » :   Forêt à domaine unique :Dans une forêt qui contient un seul domaine Active Directory, il n’existe aucun fantôme ; par conséquent, le maître d’infrastructure n’a aucun travail à faire. Il peut être placé sur tout contrôleur de domaine du domaine, que celui-ci héberge ou non le catalogue global.     Forêt multidomaine où chaque contrôleur de domaine d’un domaine contient le catalogue global :Si chaque contrôleur de domaine d’un domaine qui fait partie d’une forêt multidomaine héberge également le catalogue global, il n’y a pas de fantôme et aucun travail à faire pour le maître d’infrastructure. Celui-ci peut être placé sur tout contrôleur de domaine de ce domaine.
	Au niveau de la forêt, les rôles de contrôleur de schéma et de maître d’opérations des noms de domaine doivent être placés sur le même contrôleur de domaine car ils sont rarement utilisés et doivent être contrôlés étroitement. En outre, le rôle FSMO de maître d’opérations des noms de domaine doit être également un serveur de catalogue global. Certaines opérations qui utilisent le maître d’opérations des noms de domaine, telles que la création de domaines grands-enfants, échoueront si ce n’est pas le cas.Dans une forêt, au niveau fonctionnel de la forêt Windows Server 2003, vous n’avez pas à placer le maître d’attribution de noms de domaine sur un catalogue global.

Désinstallation d’Active Directory sur les anciens contrôleurs de domaine

 

A partir d’un contrôleur de domaine à supprimer, cliquez sur «  Exécuter » puis tapez « DCPROMO »

Cliquez sur « Suivant »

Notre nouveau contrôleur de domaine est un catalogue global, nous pouvons donc ignorer cette erreur et cliquer sur « OK »

Cliquez sur « Suivant » SANS cocher « ce serveur est le dernier contrôleur de domaine de ce domaine »

Confirmez le mot de passe puis cliquez sur « Suivant »

Windows nous présente un résumé des opérations qui vont être exécutées, cliquez sur « Suivant »

Une fois les opérations réussies, cliquez sir « Terminer » et redémarrez le serveur.

Niveaux Fonctionnels

 

Une fois les contrôleurs de domaine uniquement sous windows 2008, vous pouvez augmenter le niveau des domaines et forêts en Windows 2008.

Les niveaux fonctionnels des domaines

Niveau	Fonctionnalités activées	DC
2000	Installation depuis un support (IFM) Mise en cache des groupes Universel Partitions applicatives Imbrication des groupes Groupe de type Universel SIDHistory	2000 2003 2008
2003	Ensemble des fonctionnalités du mode 2000, plus Changement de nom des contrôleurs de domaine Mise à jour attribut LastLogonTimestamp Délégation contrainte Kerberos Selective Authentication accross Forest Trusts Mot de passe utilisateur pour inetOrgPerson Redirection des containers Users & Computers Stockage des information Authorization Manager	2003 2008
2008	Ensemble des fonctionnalités du mode 2003, plus Réplication DFS-R du contenu de SYSVOL Last Interactive Logon information (time, station, failed logons) Fine-Grained Password Policy (FGPP) AES 128 et 256 pour Kerberos	2008

Les niveaux fonctionnels des forêts

Niveau	Fonctionnalités activées	DC
2000	Toutes sauf celles qui nécessite le mode 2003	2000 2003 2008
2003	Ensemble des fonctionnalités du mode 2000, plus Changement de nom des domaines Relations d’approbation inter forets Réplication LVR (Linked Value Replication) Amélioration KCC-ISTG (Inter Site Topology Generator) Classes auxiliaires dynamiques Modification de la classe User en inetOrgPerson et vice-versa Dé/réactivation au sein du schéma Intégration des RODC (Read-Only Domain Controller)	2003 2008
2008	Ensemble des fonctionnalités du mode 2003, tout nouveau domaine est en mode 2008	2008

Voilà pour les migrations Active Directory, n’hésitez pas bien entendu à tester ces opérations en maquette, ce sera l’occasion de tester Hyper-V de Windows 2008, maintenant qu’il est RTM 

J

Téléchargement :

http://www.microsoft.com/downloads/details.aspx?FamilyId=F3AB3D4B-63C8-4424-A738-BADED34D24ED&displaylang=en

Documentation Step-By-Step Hyper-V

http://www.microsoft.com/downloads/details.aspx?familyid=BCAA9707-0228-4860-B088-DD261CA0C80D&displaylang=en

Ref : Services de domaine Active Directory

http://technet2.microsoft.com/windowsserver2008/fr/servermanager/activedirectorydomainservices.mspx