Les Maitres d’Operations pour la Forêt :

• Maitre du Schéma Active Directory

• Maitre de nom de domaine

Les Maitres d’Opération pour un domaine :

• Maitre RID

• Maitre d’Infrastructure

• Maitre PDC

Tous les maitres d’opération jouent un rôle important dans le bon fonctionnement d’Active Directory. Ils doivent être constamment joignables par tous les autres domaine contrôleurs de la forêt ou du domaine. Lors d’une maintenance planifiée, ou d’un incident  sur un DC qui agit comme maitre d’opération, il est nécessaire de transférer le ou les rôles à un autre DC pour assurer la bonne continuité du système.

Dans Active Directory, il existe deux modes pour transférer un rôle sur un autre contrôleur de domaine : le transfert simple, lorsque les deux domaines contrôleurs sont joignables, et la prise de contrôle du rôle (seize). Cependant, lorsque l’on transfert proprement un rôle, celui-ci peut retourner à son origine sans aucune contrainte, ce qui n’est pas le cas avec la prise de contrôle.

Criticité et retour à la normale

Voici l’ordre de priorité et de criticité des maitres d’Operations :

• Maitre PDC : Le PDC est l’Operation Master qui a le plus d’impact sur les utilisateurs s’il devient hors ligne. Heureusement, le rôle peut être transféré ou être pris sous contrôle facilement. Le retour au DC d’origine ne pose pas de soucis.

• Maitre Infrastructure : Un incident sur le maitre d’infrastructure ne sera vu que par les administrateurs et en aucun cas par les utilisateurs. De même que pour le PDC, un retour au DC d’origine ne pose aucun problème.

• Maitre RID : Une absence de maitre RID peut empêcher un DC de créer des nouveaux utilisateurs, groupes… Le problème ne se pose que si le pool de SID du DC arrive à sa fin. Il est préférable d’attendre que l’incident sur le serveur soit réparé plutôt que de faire une prise de contrôle du rôle. Cependant, si vous en faites une, l’ancien DC original ne peut pas être remis en ligne.

• Maitre du Schéma & Maitre de nom de domaine : De même que pour le Maitre RID, il est préférable d’attendre la réparation plutôt que de prendre le contrôle du rôle.

Transfert en interface graphique

Afin de transférer proprement un rôle, il y a deux solutions avec Windows Server 2008 : la méthode interface graphique et la méthode en ligne de commande avec ntdsutil.

Pour tout ce qui est interface graphique, vous devez vous connectez au serveur qui obtiendra le rôle une fois la manipulation effectuée. Faites bien attention à la connexion sur laquelle se fait la console MMC.

PDC, Infrastructure et RID

Active Directory Users And Computer est la console qui nous permet le transfert des rôles Primary Domain Contrôleur, du maitre d’infrastructure et du maitre RID.

Pour accéder à l’option, faites un clic droit sur votre domaine et sélectionnez « Operations Masters ».

Choisissez le rôle que vous voulez transférer et cliquez sur « Change »

Maitre de nom de domaine

Active Directory Domain And Trusts est la console qui nous permet le transfert du rôle Maitre de nom de domaine. Veuillez à bien faire attention au serveur sur lequel la console se connecte.

Maitre du Schéma

Active Directory Schema est la console qui nous permet le transfert du rôle Maitre du Schéma. Veuillez à bien faire attention au serveur sur lequel la console se connecte.

Rappel : Pour obtenir la console Active Directory Schema dans la MMC, il faut enregistrer une DLL avec la commande :

regsvr32 schmmgmt.dll

Une fois la console activée, utilisez la MMC pour ajouter le composant Active Directory Schema.

Toujours un clic droit sur la racine Active Directory Schema pour obtenir l’option de Transfert.

Transfert en ligne de commande

Le transfert d’un rôle en ligne de commande se fait par l’outil ntdsutil.

Pour cela, une fois l’outil lancé, vous devez vous connecter à un serveur puis lui transférer le rôle.

Par exemple, pour transférer le rôle de PDC sur le serveur 2.

Ntdsutil

Roles

Connections

Connect to server server-2.laboit.net

Quit

Transfer PDC

Voici une liste des actions possibles dans la partie rôles de l’outil ntdsutil:

Prise de contrôle (seize)

La prise de contrôle (seize) d’un rôle étant une action significative son utilisation ne peut être faite que par ligne de commande avec l’outil ntdsutil.

Je vous rappelle que lorsque vous prenez le contrôle des rôles RID, Schema Master, et Domain Naming Master, les anciens propriétaires du rôle ne doivent pas revenir en ligne. Vous devez forcer la désinstallation du DC en mode hors ligne avant de remettre le serveur en production.

La méthode est la même que pour transférer un rôle, à l’exception de la commande Transfer qui devient Seize.

Active Directory tentera toujours de transférer le rôle proprement plutôt que de faire une prise de contrôle lorsque cela est possible.

Par exemple, pour prendre le contrôle (seize) du rôle Maitre du Schéma sur le serveur 2.

Ntdsutil

Roles

Connections

Connect to server server-2.laboit.net

Quit

Seize schema master

Conclusion

Nous venons de voir comment changer les maitres d’Operations d’Active Directory. Deux méthodes, le transfert et la prise de contrôle. Cependant soyez très vigilant avec la prise de contrôle qui est une action significative.

]]> http://www.laboit.net/2010/06/13/transfert-des-operations-master/feed/ 0 http://www.laboit.net/2009/07/23/gestion-des-objets-active-directory/?utm_source=rss&utm_medium=rss&utm_campaign=gestion-des-objets-active-directory http://www.laboit.net/2009/07/23/gestion-des-objets-active-directory/#comments Thu, 23 Jul 2009 12:10:55 +0000 alexandre http://www.laboit.net/?p=372 Lorsque l’on souhaite créer ou modifier un compte utilisateur Active Directory, on utilise généralement la console Active Directory Users and Computers.

Cependant, une deuxième solution s’offre à nous : les outils en ligne de commande. Ces utilitaires souvent passés sous silence sont plus puissants que la console graphique.

Ces outils en ligne de commande sont généralement plus rapides et modulables quand ils nous sont familiers. Il est également possible de les utiliser en script, ce qui facilite l’administration.

Les outils disponibles

Active Directory contient de nombreuses commandes. Nous allons nous intéresser à trois d’entre elles qui permettent de gérer des objets Active Directory :

Dsadd

Dsmod

Dsrm

Le distinguished name

Ces outils utilisent le distinguished name. Il faut donc bien comprendre à quoi il correspond.

Chaque objet, que cela soit un utilisateur, une OU, un ordinateur ou un groupe, est identifié par un unique chemin dans le schéma. Il s’agit du distinguished name (dn).  Il contient le nom de domaine, toutes les OU et le commun name (cn) de l’objet.

Pour un utilisateur Alexandre VIOT situé dans l’unité d’organisation Administrateurs, son dn sera alors :

«CN=Alexandre VIOT, OU=Administrateurs, OU=Microsoft, DC=laboit, DC=lan »

Dsadd

La commande dsadd permet d’ajouter un objet dans la base de données Active Directory. Il faut lui préciser son type ainsi que son dn.

Les différents types disponibles :

Computer

Contact

Group

Ou

User

Par exemple, pour créer l’OU Formation dans laboit.lan, nous utiliserons :

dsadd ou « OU=Formation, DC=laboit, DC=lan »

Pour créer un utilisateur:

dsadd user  «CN= Alexandre VIOT,  OU=Microsoft, DC=laboit, DC=lan » -samid alexv –fn Alexandre -ln VIOT  –pwd myPassw0rd 

Dsmod

Dsmod permet quant à lui de modifier un objet déjà existant dans l’AD.

Pour ajouter un utilisateur au groupe LaboIT_Admins:

dsmod group « cn=LaboIT_Admins, OU=Microsoft, DC=laboit, DC=lan »  -addmr  «CN= Alexandre VIOT,  OU=Microsoft, DC=laboit, DC=lan »

Voici l’option qui permet de désactiver un compte. Cela peut vous être utile lorsque vous voulez en désactiver par script.

dsmod user «CN= Alexandre VIOT,  OU=Microsoft, DC=laboit, DC=lan »   -disabled yes

Dsrm

Dsrm a pour effet de supprimer l’objet de la base Active Directory.

Il prend juste en argument le dn de l’objet.

dsrm  «CN= Alexandre VIOT,  OU=Microsoft, DC=laboit, DC=lan » 

Pour aller plus loin

Vous trouverez sur la page ci-dessous tous les options disponibles lors de la création / modification d’objets.

http://technet.microsoft.com/fr-fr/library/cc731279(WS.10).aspx