Concevoir une architecture de domaine et Site Active Directory et réplication AD
Par Fabrice Meillon et Philippe Ouensanga
Concevoir une architecture de domaine et Site Active Directory et réplication AD
.gif)
Sur cette page
.gif){kind=icon} |
Q: J'ai l'intention d'installer un contrôleur de domaine sous serveur 2003, je dispose de 3 autres serveurs sous Windows 2000 server actuellement en workgroup, comment dois je m'y prendre afin d'intégrer ces 3 autres serveurs sur le domaine? |
|
Q: Je dois installer un second contrôleur de domaine mais comment s'effectue la réplication du DC ? |
|
Q: Comment faire pour se prévenir d'un poste qui se fixe une ip statique identique à celle d'un serveur critique (comme un server dhcp ou dns) ? |
|
Q: Le SP1 pour Windows 2003 Server accroit significativement la sécurité des serveurs. Néanmoins, lorsque je l'ai installé sur un serveur de production, j'ai rencontré des problèmes de GPMC(impossible d'éditer les GPO). |
|
Q: Quels sont tes conseils de sécurité pour un serveur win2003 qui joue le rôle de serveur DNS, accessible depuis internet ? (je parle de sécurité au niveau du DNS, mise a part firewall ou autre) |
|
Q: J'ai installé un contrôleur de domaine sous Windows 2003 et j'ai l'intention de faire de la délégation de contrôle au niveau des OU. J'ai utilisé l'assistant mais comment faire après si je veux modifier les droits que j'ai mis à un utilisateur ? |
|
Q: Le serveur DNS doit il être obligatoirement le même que le serveur contrôleur de domaine? J'ai déjà un serveur DNS installé mais sur un autre de mes serveurs, pas sur le futur contrôleur de domaine. Comment faire dans ce cas? |
|
Q: Problème d'IP fixe: Imaginons le cas suivant: j'ai un réseau avec une point d'accès wifi sans sécurité, comment pourrais-je faire pour protéger mon réseau d'un poste étranger qui se fixerait l'IP de mon DHCP (NB : le wifi doit rester ouvert) |
|
Q: Tous mes serveurs sont en W2K3, j'ai 1DC, 1 serveur membre (rôle serveur de fichiers) et 2 serveurs TS + Citrix, des que je fais une promotion du serveur membre en DC mes temps d'accès au réseau s'écroulent. Où est le problème? |
|
Q: Comment déplacer les informations d’un serveur DNS vers le futur serveur Active Directory? |
|
Q: Vaut-il mieux avoir 1 ou 2 serveurs DHCP? C’est-à-dire 2 avec étendues différentes bien sur. |
|
Q: Le problème de conflit d'IP fixe est t-il gère en IPv6 ? Si oui les service DHCP et DNS sur Windows 2003 sont ils totalement opérationnels pour faire un basculement d'IPv4 -> v6 ? |
|
Q: Dans quel cas doit-on garder les services Wins sous W2K3? |
|
Q: Comment se passe l’intégration d’une zone DNS dans Active directory? |
|
Q: Est ce judicieux d'utiliser la réplication faite avec DFS pour les répertoires personnels et les profils des utilisateurs ? |
|
Q: Comment fait-on pour forcer la réplication entre 2 serveurs DNS? |
|
Q: Comment fait-on pour voir le cache du serveur DNS avec dnscmd? |
|
Q: Peut- on passer la configuration du firewall et de Windows update dans les options DHCP ? Ou peut-on voir la liste détaillée des Option DHCP ? |
|
Q: Quelles sont les futurs modifications DHCP et DNS prévues par Microsoft ? |
|
Q: Comment les membres d'un domaine verront la migration réseau IPv4 -> v6 ? quel type d'IP recevront les postes qui ne gèrent pas IPv6 ? (en l’occurrence une imprimante) |
|
Q: Comment faire un scope uniquement pour un sous réseau ? Peut ont faire un scope uniquement pour les MAC réserver et un scope pour les distributions automatiques ? |
|
Q: Peut-on obliger 2 DC connectés ensemble par une 2eme carte réseau avec un câble croisé, à utiliser cette connexion pour synchroniser l'AD et DNS |
|
Blog et autres informations |
Q: J'ai l'intention d'installer un contrôleur de domaine sous serveur 2003, je dispose de 3 autres serveurs sous Windows 2000 server actuellement en workgroup, comment dois je m'y prendre afin d'intégrer ces 3 autres serveurs sur le domaine?
A: Le plus simple est de promouvoir le Windows 2003 en tant que contrôleur de domaine, une fois le système installer sur le serveur, installer le service DNS puis lancer DCpromo pour installer l'annuaire Active Directory et donc le domaine. Une fois l'installation du domaine terminée, sur les serveurs Windows 2000 : faire pointer la résolution DNS du client vers le serveur DNS et dans les propriétés du ystème des machines onglet général / choisir inclure dans le domaine puis compléter avec le nom du domaine. Plus d'info dans la rubrique Active Directory sur
https://support.microsoft.com/kb/278875
et dans l’article https://support.microsoft.com/default.aspx?scid=kb;en-us;324753
.gif){kind=icon}
Haut de page
Q: Je dois installer un second contrôleur de domaine mais comment s'effectue la réplication du DC ?
A: C'est automatique, rien à configurer pour la réplication entre les 2 contrôleurs, par défaut si aucun site n’a été créé, les 2 machines seront dans le même site au sens AD. Plus de détail
https://support.microsoft.com/kb/262561
Haut de page
Q: Comment faire pour se prévenir d'un poste qui se fixe une ip statique identique à celle d'un serveur critique (comme un server dhcp ou dns) ?
A: La solution immédiate en entreprise est de ne pas donner les droits administrateurs local de la machine à l'utilisateur ou d’en interdire le changement par Stratégie de groupe.
Haut de page
Q: Le SP1 pour Windows 2003 Server accroit significativement la sécurité des serveurs. Néanmoins, lorsque je l'ai installé sur un serveur de production, j'ai rencontré des problèmes de GPMC(impossible d'éditer les GPO).
A: Il n'y a pas de modification avec le SP1 sur GPMC, par contre il faut vérifier si vous accéder à distance à votre AD que les ports le permettre donc que le pare feu n'est pas activé ou ajouter les exceptions nécessaires à l’administration à distance
Haut de page
Q: Quels sont tes conseils de sécurité pour un serveur win2003 qui joue le rôle de serveur DNS, accessible depuis internet ? (je parle de sécurité au niveau du DNS, mise a part firewall ou autre)
A: Question très vaste, cela est fortement dépendant de tous les rôles sur le serveur. Pour les aspects sécurité, le plus simple est d'installer le SP1 sur le serveur Windows Server 2003 et d'utiliser l'assistant de configuration de la sécurité. Plus de détail sur
https://technet.microsoft.com/fr-fr/library/cc783606(en-us).aspx mais également sur les webcasts Technet dans la partie sécurité
https://www.microsoft.com/france/technet/seminaires/webcasts-securite.mspx .
Egalement le site TechNet sur la sécurité https://www.microsoft.com/france/technet/security/
Haut de page
Q: J'ai installé un contrôleur de domaine sous Windows 2003 et j'ai l'intention de faire de la délégation de contrôle au niveau des OU. J'ai utilisé l'assistant mais comment faire après si je veux modifier les droits que j'ai mis à un utilisateur ?
A: Il faut utiliser l'outil d'administration des "utilisateurs et ordinateurs Active Directory" et modifier les droits au niveau de l'OU. Toute la procédure est détaillée dans la fiche suivante :
https://support.microsoft.com/kb/324743/fr
Haut de page
Q: Le serveur DNS doit il être obligatoirement le même que le serveur contrôleur de domaine? J'ai déjà un serveur DNS installé mais sur un autre de mes serveurs, pas sur le futur contrôleur de domaine. Comment faire dans ce cas?
A: Non mais il faut que le service DNS soit installé sur un Windows 2000 minimum ou un UNIX BIND 8.2.1 avec prise en charge des enregistrements dynamiques et enregistrements de service. Personnellement, je recommande l'installation du service sur un DC Windows 2003 car les services d'authentification et DNS sont très liés en outre cela permet d'intégrer la zone DNS dans l'annuaire AD et donc de bénéficier de la tolérance de panne et la réplication pour les informations DNS
Haut de page
Q: Problème d'IP fixe: Imaginons le cas suivant: j'ai un réseau avec une point d'accès wifi sans sécurité, comment pourrais-je faire pour protéger mon réseau d'un poste étranger qui se fixerait l'IP de mon DHCP (NB : le wifi doit rester ouvert)
A: Il faut utiliser du réseau sans fil WIFI avec un authentification 802.1x WPA ou WEP, sinon aucune protection !!
Haut de page
Q: Tous mes serveurs sont en W2K3, j'ai 1DC, 1 serveur membre (rôle serveur de fichiers) et 2 serveurs TS + Citrix, des que je fais une promotion du serveur membre en DC mes temps d'accès au réseau s'écroulent. Où est le problème?
A: Il faudrait mettre un analyseur réseau et regarder pourquoi le réseau est surcharger, le fait d'implémenter un second DC rajoute la réplication de l'annuaire entre les 2 machines mais ne devrait pas écrouler le réseau
Haut de page
Q: Comment déplacer les informations d’un serveur DNS vers le futur serveur Active Directory?
A: Il faut migrer les zones de l'ancien DNS vers le nouveau serveur qui hébergera l'active directory et faire pointer les clients vers le nouveau serveur DNS. Pour migrer les zones, le plus simple est de créer une zone secondaire sur le serveur AD et de répliquer la zone ou d’exporter puis importer la zone
cf https://support.microsoft.com/default.aspx?scid=kb;en-us;280061
Haut de page
Q: Vaut-il mieux avoir 1 ou 2 serveurs DHCP? C’est-à-dire 2 avec étendues différentes bien sur.
A: 1 serveur DHCP peut être dans bien des cas largement suffisant, tant que le bail n'est pas expiré la machine conserve son adresse IP, par contre en cas de panne du serveur DHCP, il faut être en mesure de pourvoir remettre en ligne celui-ci rapidement (pendant ce temps pas de nouveau client DHCP), on peut aussi envisager la mise en cluster MSCS du service DHCP ce qui n'est pas si compliqué et finalement très utile.
Haut de page
Q: Le problème de conflit d'IP fixe est t-il gère en IPv6 ? Si oui les service DHCP et DNS sur Windows 2003 sont ils totalement opérationnels pour faire un basculement d'IPv4 -> v6 ?
A: Rien n'est précisé dans ce sens dans les spécifications IPV6. L'ensemble des nouvelles fonctionnalités et procédure d'installation sont précisées dans la fiche suivante:
https://support.microsoft.com/default.aspx?scid=kb;fr;325449
Haut de page
Q: Dans quel cas doit-on garder les services Wins sous W2K3?
A: Si des applications s'appuient sur l’interface NetBIOS par exemple SMS 2.0, Exchange 5.5
Haut de page
Q: Comment se passe l’intégration d’une zone DNS dans Active directory?
A: Il suffit dans les propriétés de la zone DNS de spécifier Intégrer à Active Directory, la procédure est décrite dans l’article
https://support.microsoft.com/default.aspx?scid=kb;en-us;816101
Haut de page
Q: Est ce judicieux d'utiliser la réplication faite avec DFS pour les répertoires personnels et les profils des utilisateurs ?
A: Oui, on peut le faire mais dans ce cas là je vous invite fortement à mettre en œuvre Windows Server 2003 R2 qui apporte de grosses évolutions sur DFS et notamment le support de 5000 liens par arborescence en domaine et 50000 en standalone plus d'informations sur
https://technet.microsoft.com/windowsserver/bb512919.aspx
Haut de page
Q: Comment fait-on pour forcer la réplication entre 2 serveurs DNS?
A: En initiant un transfert de zone soit avec l’administrateur DNS ou l’utilitaire en ligne de commande nslookup cf
https://support.microsoft.com/default.aspx?scid=kb;en-us;200525 . Si la zone est intégrée à AD, la réplication DNS se fait dans avec la réplication AD, il est possible de la forcer avec l'outil repadmin cf
https://support.microsoft.com/default.aspx?scid=kb;en-us;232072
Haut de page
Q: Comment fait-on pour voir le cache du serveur DNS avec dnscmd?
A: En utilisant dnscmd/enumzones /cache, pour plus d’informations taper dnscmd / ?
Haut de page
Q: Peut- on passer la configuration du firewall et de Windows update dans les options DHCP ? Ou peut-on voir la liste détaillée des Option DHCP ?
A: Oui il faut alors personnaliser les options cf https://support.microsoft.com/default.aspx?scid=kb;en-us;312468
et https://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced/help/sag_DHCP_und_Options.htm
Haut de page
Q: Quelles sont les futurs modifications DHCP et DNS prévues par Microsoft ?
A: Pas d'informations de ce coté.
Haut de page
Q: Comment les membres d'un domaine verront la migration réseau IPv4 -> v6 ? quel type d'IP recevront les postes qui ne gèrent pas IPv6 ? (en l’occurrence une imprimante)
A: Dans Windows XP SP1, le protocole IPv6 est énuméré comme édition Développeur IPv6 Microsoft. Les postes non IPV6 recevront une adresse IPV6, renvoient une trame spécifiant qu'il est en IPV4. Il semble qu'il y ait ensuite négociation et renvoie en IPV4 (interprétation rapide de la documentation, à confirmer et détailler donc).
Haut de page
Q: Comment faire un scope uniquement pour un sous réseau ? Peut ont faire un scope uniquement pour les MAC réserver et un scope pour les distributions automatiques ?
A: Un scope est par défaut pour un sous réseau, il suffit de configurer les réservations sur le scope, les adresses non utilisées serviront à la distribution automatique
Haut de page
Q: Peut-on obliger 2 DC connectés ensemble par une 2eme carte réseau avec un câble croisé, à utiliser cette connexion pour synchroniser l'AD et DNS
A: Ce n’est pas si simple, car pour ce faire il faudrait ne pas enregistrer les services en question sur l’autre interface mais alors les clients ne pourraient plus joindre les DCs.
Haut de page
Blog et autres informations
Plus d'informations sur AD sur le site de Fabrice Meillon https://blogs.technet.com/fabricem\_blogs
Haut de page