PCetServeur

On veut tout comprendre !

Catégorie :
Active Directory
Suivre

Depuis NT4…
Depuis NT4, Microsoft a proposé
plusieurs générations d’OS
workstation et server. Active
Directory et Powershell règnent
désormais sur un monde
complexe où virtuel et cloud ont
amorcé une nouvelle ère pleine de
défis pour les informaticiens. Pas
toujours facile de s’y retrouver
surtout pour un public non
anglophone. C’est donc le but de
ces pages : fournir des
explications de base et courtes en
français aux questions que nous
nous posons fréquemment et
renvoyer vers des références de
qualité, quelquefois en français
mais souvent en anglais, pour
approfondir.

! pcetserveur
! Active Directory
! Laisser un commentaire
! 28 janvier 2019 !1 Minute

Vérifier
rapidement le
bon état de
lʼActive Directory
: comment ?
Au-delà du monitoring simple du
hardware et la vérification des
event logs, voici deux simples
commandes en ligne qui vont
vous aider à vérifier rapidement
l’état de votre Active Directory.
Et pour aller plus loin que les
quelques exemples (simples mais
efficaces), allez voir les références
en bas de cet article.

dcdiag.exe ou le bon
fonctionnement des
contrôleurs de domaine :
Cette commande en ligne est
disponible sur les contrôleurs
de domaine mais aussi sur les
serveurs ou workstations sur
lesquels on a installé Remote
Server Administration Tools
(RSAT). Pour vérifier
rapidement que tout va bien,
vous pouvez vous contenter
de :
dcdiag /s:DCSERVER1 /q
DCSERVER1 est un
contrôleur de domaine et
« /q » permet de n’indiquer
que les erreurs. En cas
d’erreur justement, il faudra
creuser un peu plus cette
commande et pour un bon
guide, je vous renvoie encore
une fois aux références.

Vérification de la réplication
avec repamin.exe :
Attention, Attention : il faut
manipuler cette commande
en ligne avec précaution car
certains paramètres ne font
pas que de la « lecture
seule » ! Je vous propose de
commencer sagement avec
les deux suivants :
repadmin /replsum : qui
vous donner un résumé bref
et vous montre s’il y a des
erreurs.
repadmin /showrepl :
plus complet et vous
familiarise aussi avec les
différentes partitions de
l’Active Directory.

Références
En anglais, excellent article très
comple sur dcdiag :
https://blogs.technet.microsoft.c
om/askds/2011/03/22/what-
does-dcdiag-actually-do/
En anglais, référence complète
sur l’outil repadmin.exe :
https://social.technet.microsoft.c
om/wiki/contents/articles/50788
.active-directory-repadmin-
tool.aspx

! pcetserveur
! Active Directory
! Laisser un commentaire
! 18 novembre 2018 !1 Minute

RootDSE, cʼest
quoi ?
D’abord, c’est l’acronyme de Root
Directory Server Agent Specific
Entry. Il est présent sur chaque
serveur d’annuaire et lui est
spécifique. Il fournit des
informations sur le serveur
d’annuaire en question.

Pour une définition complète, il

faut se référencer à la RFC 2251
Section 3.4.

Pour s’y connecter facilement, on

peut simplement utiliser
l’utilitaire graphique LDP.exe.
Ensuite, dans le menu Connexion,
on choisit « Se connecter » et on
indique le nom du serveur dont
on veut connaître le contenu du
RootDSE ainsi que le numéro du
port LDAP (389 ou 636 en SSL).

On retrouve alors : le nom du

server, les partitions de l’Active
Directory, le niveau de
fonctionnalité du domaine, de la
forêt, le temps (current time) du
serveur, l’USN le plus haut du
serveur, le rôle de catalogue
global, l’état de la synchronisation
ainsi que plusieurs remarques
concernant LDAP (version, etc.)…

Références

Sur le site de Microsoft, à lire, en

anglais :

https://docs.microsoft.com/en-
us/windows/desktop/adschema/r
ootdse

Sur LDAP (pas restreint donc à

Microsoft), en anglais :

https://ldapwiki.com/wiki/Root
DSE

! pcetserveur
! Active Directory
! Laisser un commentaire
! 29 octobre 2018 !1 Minute

Réplications
entre les
contrôleurs de
domaine : les
partitions
Notez de suite, si vous débutez
avec l’Active Directory,
l’importance du pluriel « les
contrôleurs de domaine ». En
effet, c’est un rôle crucial et il en
faut donc au minimum deux qui
ont chacun copie des données de
l’Active Directory. Ces données
recopiées sont organisées en trois
sections de la base de données
Active Directory : les données de
domaine, de schéma et de
configuration. On parle de
« partition d’annuaire » (ou de
naming context, contexte
d’affectation de nom). Les
partitions sont répliquées
chacune indépendamment sur
« chaque » contrôleur de domaine
ou de la forêt.

Partition de domaine. La
réplication est limitée au domaine
et pas à la forêt entière. La
partition contient tous les objets
du domaine.

Partition de schéma. La
réplication concerne tous les
contrôleurs de la forêt. La
partition contient tous les types
d’objet et leurs attributs.

Partition de configuration. La
réplication concerne tous les
contrôleurs de la forêt. La
partition contient la topologie de
réplication et les métadonnées
associées.

Attention, Attention : il y a deux

autres catégories de données à
prendre en compte dans le
processus de réplication : le cas
du catalogue global et celui des
partitions d’applications.

Un contrôleur de domaine
peut également être un
serveur de catalogue global :
il contient dans ce cas un
réplica partiel de la
partition de domaine
pour tous les domaines
de la forêt. C’est-à-dire un
sous-ensemble des propriétés
des objets des autres
domaines de la forêt (en
lecture seule) : celles qui sont
utilisées lors des opérations
de recherche dans l’annuaire.

Les partitions d’applications

contiennent aussi des objets
Active Directory qui sont
répliqués entre les
contrôleurs de domaine.
Mais elles ne peuvent pas
contenir des utilisateurs, des
groupes ou des ordinateurs
etc. De plus, la réplication
peut se faire seulement vers
un sous-ensemble restreint
de contrôleurs de domaine
dans une forêt ou un
domaine. Enfin, ces données
ne sont jamais répliquées
dans le catalogue global. Les
partitions DNS (lorque le rôle
de serveur DNS est pris par
des contrôleurs de domaine)
sont un bel exemple de
partitions d’applications.

Références

Article assez ancien (Windows

Server 2000) mais très complet et
en français :

https://technet.microsoft.co
m/fr-
fr/library/bb967318.aspx

Article concis sur les partitions

d’application, en anglais :

https://www.dell.com/suppo
rt/article/be/nl/bebsdt1/sln2
90721/understanding-
application-directory-
partitions-in-active-
directory?lang=en

! pcetserveur
! Active Directory
! Laisser un commentaire
! 28 octobre 2018 !2 Minutes

ADSI, cʼest quoi ?

ADSI (Active Directory Service
Interface) : basé sur COM et
permet d’accéder à des services
d’annuaire de différents
fournisseurs comme LDAP et,
bien entendu Active Directory
mais aussi (et cela peut paraître
surprenant vu l’intitulé) la base
des comptes locale SAM (Security
Account Manager).
Ainsi, on se connecte à la base
SAM locale du PC pour chercher
les propriétés du groupe local
Administrateurs, en Powershell :
$computername=$env:COMPUT
ERNAME
$group =
[ADSI] »WinNT://$computerna
me/Administrateurs »
$group | select -property *

Voilà… Vous trouverez sur le web

plusieurs exemples de scripts (un
peu plus complexes que ci-dessus
mais aussi plus utiles -)
permettant d’énumérer les
membres du groupe local
Administrateurs…

Et en ce qui concerne un Active

Directory, voici comment
récupérer les informations se
trouvant dans l’enregistrement
RootDSE
$Root = [ADSI]
« LDAP://RootDSE »

! pcetserveur
! Active Directory
! Laisser un commentaire
! 22 octobre 2018 !1 Minute

Rechercher

Recherche…

Quelques principes de base

1. Sois fidèle à tes valeurs,
2. Do your best… même si cela ne
suffit pas toujours,
3. Ose poser des questions, sois
curieux ;-)

Sujets abordés
Active Directory

MS Windows Server

Powershell

Propulsé par WordPress.com.