Délégation Centre-Auvergne-Limousin

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Délégation Centre-Auvergne-Limousin
Article de Loïc THOBOIS du Laboratoire Supinfo des Technologies Microsoft Directeur du pôle Recherche

Introduction
1) Installation d'un DC supplémentaire
2) Forcer la réplication
3) Définir un catalogue global
4) Transférer les rôles de maîtres d'opérations
5) Rétrograder l'ancien DC
6) Modification de l'identifiant réseau
7
) Reconfiguration du serveur d'origine
8) Cas d'un domaine composé de plusieurs DC

Introduction

Lorsque Windows 2000 Server exécute les services Active Directory (donc héberge un contrôleur de domaine) il n'est plus possible de le renommer. En effet, si l'on essaye, on constate que le bouton permettant ce changement est grisé.

On pourrait pourtant rétrograder ce même serveur au rang de simple serveur membre, ce qui permettrait de modifier l'identificateur réseau. Malheureusement, cette opération ferait aussi perdre toutes les informations de configuration de l'Active Directory.

Afin de contourner ce problème il est nécessaire de suivre une procédure que nous allons décrire ci-après. Le contexte de cette étude est un domaine composé d'un unique contrôleur de domaine. Dans le cas d'un domaine composé de plusieurs DC, voir en fin d'article.

1) Installation d'un DC supplémentaire

Tout d'abord, il est indispensable d'installer un second Windows 2000 Server et de le promouvoir en tant que DC (Domain Controler) supplémentaire du domaine (Attention: n'oubliez pas d'indiquer l'adresse du DNS du DC actuel sur la machine que vous allez promouvoir).

Lors de la procédure de promotion, on peut observer la synchronisation des deux serveurs.

2) Forcer la réplication

Une fois le nouveau DC créé, il faut forcer la réplication des connexions Active Directory. Ceci va permettre de s'assurer que tous les objets de l'Active Directory du premier DC (labo1) ainsi que leurs paramètres soient bien synchronisés avec notre nouveau DC (labo2). 

 Pour forcer la réplication, ouvrez "Sites et services Active Directory" du dossier "Outils d'administration" (ou tapez "dssite.msc" dans "Démarrer/Exécuter..."), puis allez dans :

  • "Sites"

  • "Le site contenant les informations que vous voulez répliquer"

  • "Servers"

  • "Contrôleur de domaine pour le site contenant les informations que vous voulez répliquer"

  • "NTDS Settings"

Une fois arrivé à ce niveau, cliquez avec le bouton droit sur la connexion et faites "Répliquer maintenant".

3) Définir un nouveau catalogue global

Afin de permettre à notre nouveau DC de recevoir des mises à jour régulières des objets d'AD (Active Directory) du domaine par le biais de la réplication, il est nécessaire d'activer l'option "Catalogue Global" dans les propriétés de "NTDS Settings" du nouveau serveur. Un catalogue global stocke l'intégralité des objets de l'annuaire de son domaine (il est créé lors de l'installation du premier DC de la forêt).

4) Transférer les rôles de maître d'opérations

Les rôles de maître d'opérations prennent en charge les requêtes qui ne peuvent être traitées par plusieurs machines simultanément. Ainsi, un certain nombre de fonctions liées à Active Directory doivent être spécifiques à un serveur unique.

On peut distinguer deux catégories de maîtres d'opérations selon leur portée.

1. Liés à la foret:

  • Contrôleur de schéma (schema master): Il est le seul habilité à intervenir sur la description du schéma global de la foret.
  • Maître d'attribution de noms de domaine (domain naming master): Il contrôle l'ajout et la suppression des domaines de la forêt.

2. Liés au domaine:

  • Maître RID (RID master): Il contrôle l'unicité des identifiants (ID) des objets du domaine. Ces identifiants sont créés à partir de l'ID du domaine et d'un ID unique à l'objet.
  • émulateur PDC (PDC): Permet d'assurer une rétro-compatibilité avec les machines fonctionnant sous Windows NT 4. Il émule sur le domaine le rôle de PDC et permet de maintenir, pendant une phase de migration, le fonctionnement de Contrôleur Secondaire de domaine sous NT 4.
    L'émulateur PDC permet aussi, sous un environnement Windows 2000 natif, de maintenir de façon prioritaire toutes les modifications liées aux mots de passe. En effet, si un utilisateurs modifie celui-ci, le changement n'est pas répercuté de façon instantané su_r l'ensemble des DC. Donc si l'authentification échoue, une requête sera envoyée à l'émulateur PDC pour demander un éventuel changement de mot de passe de l'utilisateur.
  • Maître d'infrastructure (infrastructure master): Il permet de maintenir l'intégrité des liens entre objets de domaines différents. 

Il faut donc transférer les rôles de maître d'opérations au nouveau DC. Afin d'effectuer cette opération il existe 2 possibilités.

a. Utilitaire en ligne de commande

L'utilitaire permettant le transfert est ntdsutil.exe (bien que ce soit un utilitaire en ligne de commande, il ne semble pas fonctionner via telnet).

La procédure à suivre est la suivante:

  • Cliquez sur le menu "Démarrer", ensuite sur "Exécuter..." (ou faite Win-R)
  • Tapez "cmd"
  • A l'invite de commande tapez "ntdsutil"
  • Ensuite tapez "roles", puis "connections".
  • Il est maintenant nécessaire de vous connecter sur le nouveau DC à l'aide de la commande "connect to server labo2" (où labo2 est le nom du nouveau DC).
  • Une fois la connection effectuée, tapez "quit" et lancez toutes les fonctions de transfert une à une (attention n'utilisez pas les fonctions de remplacement de type "seize").
    • Transfer domain naming master
    • Transfer infrastructure master
    • Transfer PDC
    • Transfer RID master
    • Transfer schema master
  • Une fois les transferts effectués, tapez "quit" et encore une fois "quit".

b. Utilitaires en mode graphique

Afin de transférer les rôles de maître d'opérations, il est nécessaire de passer par différents utilitaires, suivant les rôles à transferer.

Utilisateurs et ordinateurs Active Directory

Ouvrez "Utilisateurs et ordinateurs Active Directory" du dossier "Outils d'administration" (ou tapez "dsa.msc" à l'invite de "Exécuter...").

Cliquez sur votre domaine avec le bouton droit et sélectionnez "Maîtres d'opérations...".

Il suffit ensuite de transférer les différents rôles:

Schéma Active Directory

Ouvrez "Schéma Active Directory" du dossier "Outils d'administration" (ou tapez "schmmgmt.msc" à l'invite de "Exécuter..."). Il peut être nécessaire, pour utiliser ce composant, d'installer les outils d'administration de Windows 2000 en tapant "adminpak.msi".

Cliquez sur "Active Directory Schema" avec le bouton droit et sélectionnez "Maîtres d'opérations...".

Domaines et approbations Active Directory

Ouvrez "Domaines et approbations Active Directory" du dossier "Outils d'administration" (ou tapez "domain.msc" à l'invite de "Exécuter...").

Cliquez sur "Domaines et approbations Active Directory" avec le bouton droit et sélectionnez "Maître d'opérations...".

5) Rétrograder l'ancien DC

Ensuite il faut rétrograder le premier DC avec la commande "dcpromo" (Ne pas oublier de préciser que le serveur n'est pas le dernier DC du domaine).

Une fois l'opération effectuée, le serveur devient membre du domaine. On remarque dans la fenêtre d'ouverture de session qu'il est de nouveau possible d'ouvrir une session sur la base de comptes locale de l'ordinateur, preuve que l'ordinateur n'a plus le rôle de DC.

6) Modification de l'identifiant réseau

On procède alors à la modification de l'identifiant réseau de la machine (Panneau de configuration / Système / Identification réseau / Propriétés).

Une fois la modification effectuée, il est nécessaire de redémarrer le serveur.

7) Reconfiguration du serveur d'origine

Enfin, utilisez "dcpromo" pour promouvoir de nouveau le serveur en DC. Il suffit ensuite de faire l'opération inverse en reconfigurant tous les rôles de maître d'opérations ainsi que le catalogue global sur le DC renommé.

8) Cas d'un domaine composé de plusieurs DC

Dans ce cas précis il n'est évidemment pas nécessaire d'installer un second serveur. La procédure reste la même mais peut être réalisée à l'aide d'un DC existant.

 

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.