[UPDATE] Bien configurer son Active Directory

w2k08.jpgJe reprends un de mes premiers billets, qui d’ailleurs est le plus consulté du blog ! J’ai décidé de le refaire complétement, avec des explications plus concrètes, des captures d’écrans, des conseils et des astuces afin que vous puissiez mettre en place un réseau Microsoft qui fonctionnera de façon la plus optimale possible ! J’ai rédigé ce billet sur un Windows Server 2008 (applicable aux autres versions bien sûr !), et j’espère qu’il vous apportera beaucoup !!! N’hésitez pas à vous rendre sur le forum si vous rencontrez des difficultés, ou si vous avez des questions ! (Guide téléchargeable dans ce billet !)

Définir un plan d’adressage

Il est important de définir un plan d’adressage IP. Ainsi, votre réseau sera segmenté de façon normalisée. Prenons un exemple:

  • Pour les serveurs: 192.168.1.1 => 192.168.1.10
  • Pour vos routeur(s)/switch(s)/éléments actifs : 192.168.1.20 => 192.168.1.30
  • Pour vos imprimante(s): 192.168.1.40 => 192.168.1.50
  • Pour vos postes de travail: 192.168.1.100 => 192.168.1.200
  • etc…. (votre imagination est la seule limite !)

Mais il est également important de définir une charte de nommage de vos postes de travail ainsi que vos utilisateurs:

Pour les serveurs, il convient de prendre une racine: SRV suivi de son rôle EXCH (exchange) ou DC/AD (Active Directory) ou encore TSE (pour un Terminal Serveur) suivi de chiffres (2) et éventuellement d’un site. Exemple:

  • SRVAD01: serveur Active Directory n°1
  • SRVTSE02 : serveur TSE n°2
  • SRVEXCH03-1: serveur Exchange n°3 du site 1
  • etc…. (votre imagination est la seule limite !)

Pour vos postes de travail, on peut utiliser la racine PC suivi du nom de famille de l’utilisateur ou du service, suivi de NOM (comme nombre) et d’un chiffre. Exemple:

  • PCGEORGEOTNUM0: poste n°1 de travail de GEORGEOT
  • PCDUPONTNUM1: poste n°2 (un portable par exemple, en plus d’un PC de bureau existant) de DUPONT
  • etc…. (votre imagination est la seule limite !)

Idem pour vos imprimantes, une racine IMP (pour imprimante), suivi de la marque (3/4 caractères maximum), d’un lieu, d’un étage…. Exemple:

  • IMPHPETG1: imprimante HP étage 1
  • IMPHP02-ETG3: imprimante HP n°2 de l’étage 3
  • IMPCOMPTA09-S2: imprimante comptabilité n°9 de la salle 2
  • etc…. (votre imagination est la seule limite !)

Je vous recommande vivement de procéder ainsi, la maintenance n’en sera que facilitée. Profitez-en pour acheter un DYMO, afin d’accoler vos noms de machine directement sur vos postes, imprimantes, routeur, etc…. Prenons un bon exemple, chez n’importe lequel de mes clients j’ai appliqué des chartes communes, ainsi, en intervention technique, je sais comment se nomment les serveurs, quels adresses IP sont paramétrées, etc…. C’est un régal, et un gain de temps appréciable !

Recommandation:

  • Évitez de commencer par des chiffres un nom de machine (bug dans la commande ping
  • Le protocole Netbios accepte un maximum de 15 caractères de longueur (dans la pratique, on peut dépasser cette limite, mais des machines type Windows 98 ou autre systèmes d’exploitation assez anciens poseront problème).
  • Les anciens domaines, type MS-LAN Manager accepte que 8 caractères, mais je vous rassure, je pense que vous ne devriez plus en trouver 😉
  • Évitez aussi les caractères du type – , _ , etc …. Mais je vous avoue, je les utilise au quotidien, sans problèmes, il s’agit de « Best Pratices ».

Pour vos utilisateurs, il est important de respecter une charte de nommage. Microsoft, en interne, ne respecte pas cette règle à cause du SPAM, mais pour des raisons pratiques, cette charte peut s’avérer très utile. Exemple: PremièreLettreDuPrénom suivi du NomDeFamille. Exemple:

  • cgeorgeot: Cédric GEORGEOT
  • a.dupont: Alfred Dupont
  • etc…. (votre imagination est la seule limite !)

Si vous avez un serveur de messagerie Exchange, si vous respecter une charte de nommage, tous les utilisateurs de la société auront la même forme d’email. Pratique, mais on peut ainsi facilement deviner une adresse email d’un collaborateur. On comprend pourquoi Microsoft a fait son choix !

Réseaux TCP/IP – Notions des services essentiels

WINS (Windows Internet Naming Service) est un serveur de noms et services pour les ordinateurs utilisant NetBIOS. En pratique, WINS est aux noms Netbios (exemple srvad01), ce que le service DNS est aux FQDNs (Full Qualified Domain Name, exemple: ordinateur.mondomaine.local). C’est une base de données centralisée, qui permet à un client qui désire contacter un ordinateur sur le réseau d’envoyer des requêtes pour trouver l’adresse IP à joindre, plutôt que d’envoyer une requête globale de broadcast pour demander l’adresse à contacter. Le système réduit alors le trafic global sur le réseau.

Depuis Windows 2000, Microsoft conseille à ses clients d’utiliser Active Directory (et le DNS Dynamique) plutôt que WINS, mais je dirais que dans la pratique, il est bien utile, et consomme très peu de ressources.

Dynamic Host Configuration Protocol (DHCP) permet d’assurer la configuration automatique des paramètres IP d’un poste/imprimante/routeur/…, notamment en lui assignant automatiquement une adresse IP et un masque de sous-réseau, et bien d’autres informations: comme l’adresse de la passerelle par défaut, des serveurs de noms DNS et des serveurs de noms NBNS, de temps, ….

Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant d’établir une correspondance entre une adresse IP et un nom de domaine FQDN et, plus généralement, de trouver une information à partir d’un nom de domaine.

Recommandations importantes

Convention de nommage

Il est très important de bien choisir son suffixe DNS pour le nommage de votre nom de domaine, Microsoft recommande un .ad ou .local, ne prenez jamais votre nom de domaine en .fr ou .com !!! Sinon, vous allez obtenir un gros problème de résolution de nom. Prenons des exemples:

  • votre-societe.local
  • monorganisation.ad
  • domaine.fr A ÉVITER !

Je vous recommande aussi de nommer de la même façon le domaine NETBIOS et DNS ! (toujours pour optimiser la résolution de noms, mais ce n’est pas nécessaire, juste une recommandation)

Préparation du serveur

Je vous recommande pour tous les serveurs:

  • D’installer votre serveur avec les outils du constructeur (SmartStart pour HP, par exemple)
  • D’avoir deux volumes RAID, un RAID-1 (C:) pour le système et un RAID-5 (D:) pour vos données. C’est important, car l’installation de l’Active Directory désactive le cache en écriture sur le volume physique !
  • De copier le dossier i386 sur le disque système de votre serveur (et de décompresser le dernier service pack dans le dossier, si nécessaire, après l’avoir appliqué à votre machine une fois le serveur complètement installé !)

Configuration TCP/IP de votre serveur

Après avoir installé votre serveur Windows 2008, il convient de le paramétrer correctement, tout en respectant la charte !

network1.JPG

network2.JPG

Il est important de bien paramétrer les suffixes, obligatoire pour obtenir une résolution de noms impeccable.

network3.JPG

Nous désactivons ici le fichier LMHOSTS, qui ne « sert » à rien, si votre DNS est bien configuré.

Je vous recommande également de forcer votre carte réseau à sa vitesse désirée (100 Full Duplex ou 1000 Full Duplex), plutôt que sur AUTO.

Nommage de votre serveur

Tout en respectant votre charte de nommage, voici comment configurer le nom de votre serveur. Après avoir ajouté votre suffixe, celui-ci s’ajoute automatiquement à votre nom de machine.

nomachine.JPG

Installation des fonctionnalités essentielles

Via l’assistant de fonctionnalités, je vous recommande l’installation des services suivants:

  • Client Telnet: bien utile pour vous connecter à un routeur, serveur SMTP, …
  • Client TFTP: utile pour mettre à jour des firmwares, etc…
  • Gestion des stratégies de groupe: utile pour configurer et superviser vos GPO
  • Moniteur de ports LPR: sert aux spoolers LPD
  • Serveur WINS: pour la résolution de noms NETBIOS
  • Service SNMP: utile pour le monitoring (switchs, serveurs, …)
  • Services TCP/IP simplifiés: contient des commandes TCP/IP complémentaires
  • Windows Powershell: la nouvelle génération de l’invite de commande
  • Fonctionnalités de la sauvegarde Windows Server: utile pour sauvegarder le System State, Exchange, …
  • Vous pouvez installer également le composant Compression différentielle (RDC) qui optimise la réplication AD et DFS, mais celui-ci s’adresse à des réseaux très étendus.

fonction.JPG

Installation des rôles essentiels

Voici les rôles à installer sur votre serveur:

  • Serveur DHCP: voir définition ci-dessus
  • Serveur DNS: voir définition ci-dessus
  • Service d’impression: optimise la gestion des imprimantes (si votre contrôleur AD est aussi serveur d’impressions)
  • Service de fichiers: optimise la gestion des fichiers (si votre contrôleur AD est aussi serveur de fichiers)

roles.JPG

roles2.JPG

roles3.JPG

roles4.JPG

Nous configurons l’étendue DHCP plus tard.

roles5.JPG

roles6.JPG

roles7.JPG

Sélectionnez ensuite le disque qui contient vos données (typiquement D:) pour activer la gestion des ressources fichiers.

Installation de l’Active Directory (AD)

Lancez la commande DCPROMO à partir d’un invite de commande, puis choisissez Installation en mode Avancé et ensuite créer un nouveau domaine racine de la forêt.

ad1.JPG

ad2.JPG

ad3.JPG

A ce niveau, ATTENTION, les choix sont irréversibles ! Je vous recommande le niveau Windows 2003, si jamais vous devez rajouter des serveurs en Windows 2003, par exemple… Les niveaux fonctionnels offrent des stratégies de mots de passe affinées, par exemple, …. Choisissiez le niveau 2003 pour la forêt ainsi que pour le domaine.

ad4.JPG

Vous allez obtenir un message de l’assistant qui vous demandera s’il faut continuer l’installation car il ne trouve pas de zone faisant autorité, Cliquez Oui, nous paramétrerons le DNS plus tard.

ad5.JPG

L’emplacement des dossiers peut être laissé par défaut. Ces dossiers contiennent les scripts de NETLOGON, la base AD, les GPO, etc…

ad6.JPG

L’Active Directory est donc en cours d’installation, redémarrez le serveur à la fin du processus.

Configuration du réseau post-installation AD

L’active Directory est désormais installé sur votre serveur, il convient de configurer le réseau de façon optimale.

Configuration et optimisation DNS

Nous nous apercevons que l’assistant AD a préconfiguré le DNS, mais vraiment pas jusqu’au bout ! Première chose à faire (assez hallucinant d’ailleurs), il convient d’aller dans les propriétés de votre carte réseau pour changer le serveur DNS primaire de 127.0.0.1 par l’adresse IP de votre serveur DNS, ici dans notre cas: 192.168.1.1

dns1.JPG

Il faut ensuite créer une zone inverse (clic-droit sur zone de recherche inversée => nouvelle zone), en zone principale et intégrée à Active Directory qui se répliquera vers tous les serveurs du domaine en IPv4. Autorisez également les mises à jours dynamiques sécurisées et non sécurisées.

dns2.JPG

Une zone la zone inverse crée, il convient d’ajouter le pointeur de votre serveur (PTR) dans cette zone.

dns3.JPG

Nous allons maintenant optimiser le serveur DNS, pour cela clic-droit sur votre serveur puis propriétés.

dns4.JPG

Ajouter ici les serveurs DNS de votre provider internet. Les redirecteurs servent à envoyer les requêtes non résolues vers d’autres serveurs DNS afin de les résoudre. Typiquement, si vous tapez www.google.fr, votre serveur DNS ne connait pas cette zone, et enverra donc cette requête aux DNS de votre provider qui lui, les connaitra !

dns5.JPG

Cochez le nettoyage automatique et paramétrez-le sur 7 ou 15 jours. Votre DNS sera ainsi nettoyé des enregistrements obsolètes (important car nous allons configurer le DHCP de telle façon que cette option est nécessaire). Décochez également le Round Robin.

Allez ensuite dans les propriétés de votre zone de recherche directe. Dans l’onglet Général, activez un vieillissement (de 7 ou 15 jours)

dns6.JPG

Ensuite, une bonne configuration du Forward WINS est essentielle, car le protocole NETBIOS ne dispose pas de mécanisme dynamique.

dns7.JPG

Faites de même pour la zone inverse.

dns8.JPG

Configuration et optimisation DHCP

Dans la console DHCP, ajoutez votre serveur à l’aide d’un clic-droit, puis activez et démarrez le service. Puis autoriser le serveur DHCP à agir sur votre domaine, pour cela clic-droit sur votre serveur => Activer.

dhcp1.JPG

Nous allons maintenant créer une étendue qui distribuera les adresses IP à vos postes clients. Pour cela, au niveau de IPv4, clic-droit => nouvelle étendue.

dhcp2.JPG

Créer votre étendue en respectant votre plan d’adressage. Évitez de créer une étendue du type 192.168.1.1 => 192.168.1.254 et de créer des exclusions… Sinon, un bail de 8 heures est suffisant, et activez l’étendue à la fin de l’assistant. Pour vos imprimantes, je vous recommande aussi (c’est du travail supplémentaire, mais très précieux dans l’administration au quotidien ou en cas de changement de classe IP) de créer des réservations de façon à ce que les imprimantes (ou autres périphériques) obtiennent leurs adresses IP de façon automatique.

dhcp3.JPG

dhcp4.JPG

dhcp5.JPG

dhcp6.JPG

Voici comment ajouter une réservation (au préalable, relevez l’adresse MAC de votre périphérique)

dhcp7.JPG

Lors de la création de l’étendue, des paramètres sont crées automatiquement. Mais il convient d’en rajouter afin d’optimiser votre DHCP. Rajoutez dans les options:

  • Serveur de temps
  • Serveur de noms
  • Serveur NTP
  • NBDD Netbios sur TCP/IP

dhcp8.JPG

dhcp9.JPG

Ce paramétrage permet l’optimisation de l’interaction entre les services DNS et DHCP, ainsi au moment de l’attribution d’une adresse IP, celle-ci est automatiquement enregistrée dans le DNS, d’où l’importance (plus haut) de la suppression des enregistrements obsolètes.

dhcp10.JPG

Mais profiter de cette fonctionnalité, il convient de créer un compte de service dans l’AD et renseigner les champs.

dhcp11.JPG

Configuration et optimisation WINS

Il n’y a rien à configurer de particulier, juste à lui notifier un emplacement de sauvegarde.

wins1.JPG

Configuration et optimisation AD

Dans la console Sites et Services Active Directory, modifiez le premier Site par défaut (ici, je l’ai appelé Strasbourg) et créez un Objet de sous-réseau. Ceci est utile pour la réplication entre différents sites.

site1.JPG

Tuning de l’installation

Serveur de temps

Il est très IMPORTANT d’avoir un serveur de temps fonctionnel dans son Active Directory sous peine d’avoir des dysfonctionnements importants.

Définissiez votre serveur de temps:

net time /setsntp:ntp.univ-lyon1.fr

Vérifiez que le registre a été modifié comme ceci:

  • HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type – valeur NTP
  • HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags – valeur 5
  • HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer contient le nom du serveur NTP utilisé pour la synchronisation, ici ntp.univ-lyon1.fr

Il faut ensuite redémarrer le serveur de temps en lançant la commande net stop w32time && net start w32time. Lancez ensuite les commandes w32tm /resync /rediscover pour forcer la synchronisation.

La commande w32tm /monitor permet de superviser si la synchronisation est effective.

Activation du bureau à distance

Il peut être sympathique de se connecter en bureau à distance sur votre serveur afin de l’administrer. Une règle pour le firewall sera automatiquement crée, et le compte Administrateur pourra automatiquement se connecter.

rdp.JPG

Variable d’environnement

Si vous ajoutez des Ressource Kit ou autre Support Pack (etc…) le path de votre serveur sera modifié, il est important afin d’accélérer les temps de réponse, de modifier celui-ci afin que les variables systèmes soient en première position. Pour cela, copier le chemin de votre Ressource Kit et copiez-le à la fin.

var.JPG

Fichier d’échange virtuel

La mémoire virtuelle est un espace mémoire situé sur le disque dur pour pallier un manque de mémoire vive. Pour de meilleures performances, on veillera à placer ce fichier sur le disque dur le plus rapide, après celui contenant l´OS, tout en lui assignant une taille fixe. OU pour les serveurs vitaux, un fichier d’échange d’une taille égale ou supérieure à celle de la mémoire RAM doit être placé sur la même partition que le système d’exploitation pour permettre l’enregistrement de fichiers de vidage sur incident.

Configuration du SNMP

Simple Network Management Protocol (SNMP), protocole simple de gestion de réseau en français, est un protocole de communication qui permet aux administrateurs réseau de gérer les équipements du réseau, superviser et de diagnostiquer des problèmes réseaux, matériels à distance.

Pour le configurer rendez-vous dans la console des Services => Service SNMP. Il convient de définir des communautés pour recevoir les trappes SNMP: public et private.

snmp.JPG

snmp2.JPG

Redémarrez le service après modifications.

Peaufinage de la configuration

Installation de AD-TOOLS

Je vous recommande aussi l’installation de AD-Tools qui vous permettra de « normer » votre Active Directory, de créer vos utilisateurs en une seule ligne de commande etc…. L’utilitaire E-Save, connait quelques bugs avec Windows 2008, mais qui seront bientôt corrigés, mais l’utilitaire reste exploitable !

adt.JPG

adt1.JPG

Logiciel et documentation disponible ici.

Gestion des volumes de stockage

A partir de Windows 2003 R2, des utilitaires forts sympathiques ont fait leur entrée dont la gestion du stockage de façon simplifiée.

Mise en place de quotas

Dans la console Gestionnaire de ressources du serveur de fichier, clic-droit sur Quotas => Créer

quota1.JPG

A vous de définir, selon votre charte de l’utilisation de l’outil informatique, ou votre place disque, un quota pour le partage ou pour les utilisateurs.

Mise en place des filtres de fichiers

Dans la console Gestionnaire de ressources du serveur de fichier, clic-droit sur Filtres de fichiers => Créer

filtre.JPG

Fonctionnalité très intéressante, qui interdit purement et simplement l’enregistrement de fichiers MP3, AVI ou autre EXE ! Beaucoup d’utilisateurs utilisent l’espace disque des serveurs pour y déposer leurs photos de vacances…. Il est bien entendu possible de rajouter/modifier des extensions de fichiers à interdire. Bref, très utile pour préserver l’espace disque pour les données de l’entreprise.

Gestion des imprimantes

La console Gestion de l’impression centralise le paramétrage des imprimantes, permet d’exporter le paramétrage complet vers un fichier (au niveau du serveur). Bref, très intuitif, cette console vous permettra d’ajouter des pilotes, de créer des ports, etc…. Mais la fonction qui nous intéresse est le déploiement via l’Active Directory directement au niveau des clients par le biais de GPO !

Au préalable, créer simplement au niveau de l’Unité d’Organisation (UO) désirée une stratégie de groupe. Ensuite dans la console des imprimantes, faites un clic-droit sur l’imprimante que vous désirez déployer => publier dans l’annuaire => déployer à l’aide de la stratégie de groupe.

imp.JPG

imp2.JPG

imp3.JPG

Ainsi, tous les utilisateurs dans votre UO se verront attribuer automatiquement l’imprimante sélectionnée. Cette fonctionnalité est redondante à mon logiciel AD-Tools, mais qui lui fonctionne sur des systèmes anciens !

Console de récupération

Uniquement valable pour Windows 2003 Server, cette console permet de d’accéder au serveur et de mener les premières investigations en cas de crash du serveur. Pour l’installer, il convient de se munir du CD-ROM d’installation et de lancer la commander suivante: CDROM:\i386\winnt32.exe /cmdcons

C’est terminé !

Voilà, grâce à ce guide, vous pourrez obtenir un serveur stable et correctement configuré ! J’espère qu’il vous apporté de l’aide. Télécharger l’intégralité du guide au format PDF ici.

Certaines définitions proviennent de Wikipédia et sous soumises à licence CC-BY-SA.

Partagez si ça vous plait !
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest

64 Commentaires
Commentaires en ligne
Afficher tous les commentaires
jfkcondor
jfkcondor
15 années il y a

Tous d’abord je vous remercie par cette explication, vu simple et facile à manipuler, mais je voudrais savoir comment configurer tout une arborescence avec les UOs (Unités Organisationnelles), faire une structure hiérarchique d’une entreprise, ainsi comment faire une politique de sécurité pour active directory.

Cédric GEORGEOT
15 années il y a

Bonjour,

Il convient de créer, par exemple, à la racine du domaine, une UO nommée MASOCIETE. Puis de créer les services et sous services, de la même manière que des dossiers.

Puis, il convient de créer une GPO pour l’entreprise entrière, au niveau de l’UO nommée MASOCIETE. De cette manière tous les utilisateurs se verront attribuer la même GPO.

boubou
boubou
14 années il y a

rien a dire toujours le meilleur du web!

Gaetan
Gaetan
14 années il y a

Bonjour,

Je me permet de rappeler une petite chose concernant la configuration du serveur de temp : Seul le PDC emulator du domaine racine (Premier domaine a etre monter) doit avoir une syncro avec une source externe et le reste des machines doivent rester en MDS5.

Cédric GEORGEOT [MVP]
14 années il y a

Merci pour cette remarque pertinente !

Darko
Darko
14 années il y a

C’est une chance que d’être tombé sur ce tutoriel. Merci bcp pour ces explications, elles m’ont été d’une aide précieuse. J’ai rencontré quelques petites difficultés au cours de la création du service AD (quand ça ne se passe pas comme dans l’explication… mais ça aide à mieux comprendre une fois qu’on a trouvé le pourquoi du comment). Techniquement, j’ai gagné des jours à mettre en place mon domaine et j’ai évité de perdre le restant de mes cheveux.

L’étape d’après aurait été de compléter avec la mise en place d’une UO et d’une GPO (tjrs un peu abstrait pour moi) et l’ajout du domaine pour le client (sous XP) (juste histoire d’être complet mais je chipote).

Pour ma part, j’ai dû également faire un petit « gpupdate /force » (sous win2008) à la fin pour enfin connecter un client.

Et il me reste un message d’avertissement sur l’une des étapes (win32tm /monitor) sachant que je n’ai pas pris le serveur ntp de lyon car il ne semble pas répondre (j’ai pris « ntp-sop.inria.fr« ).
Le message : « Attention : La résolution de nom inverse est conseillée. Une erreur peut se produire car le champ d’ID de référence des paquets de temps diffère entre les implémentations NTP et peut ne pas utiliser les adresses IP. » Si quelqu’un a une explication…

Merci encore !

Bachir
Bachir
13 années il y a

Merci beaucoup pour ce tutoriel, très efficace!!

edo
edo
13 années il y a

j’ai installé ad sur windows server 2008 mais je n’arrive pas à joindre des pc clients au domaine.
quelqu’un peut il m’aider?

Cédric GEORGEOT
13 années il y a
Répondre à  edo

Bonjour,

Quel est le problème rencontré ? Il faut veiller à ce que le DNS soit correctement configuré sur le poste de travail, faire un nslookup du serveur pour s’en assurer.

Jacques
Jacques
13 années il y a

Bonjours,
Tout d’abord merci pour vos intéressants billets qui m’ont beaucoup aidé.

J’ai installé SBS 2008 (actuellement en version d’essai) sur un serveur que j’ai fabriqué (carte mère Asus P7P55D Pro, processeur Intel I3 540 3.06Ghz,4gb mémoire DDR3 1333, 3 DD Western Digital 500Gb Sata montés en RAID 5, nombre de clients connectés au serveur:4 maximum).

L’objet de ce serveur est avant tout de pouvoir installer un serveur Blackberry Express pour synchroniser sans fil Outlook 2007 et mon Blackberry; le second objectif est d’y installer un logiciel de facturation et gestion commercial accessible par tous les clients connectés au serveur mais aussi en « Remote » (nous possédons une IP fixe).

J’ai suivi, à la lettre, les tutos disponibles sur le site mais il y a un problème que je n’arrive pas a solutionner.
Lorsque j’exécute Best Practice Analyzer, j’ai un avertissement de non concordance de certificats, à savoir: Non-correspondance d’entités de sécurité de certificats
L’entité de sécurité du certificat SSL « https://excellent.local » semble ne pas correspondre à l’adresse de l’hôte: excellent.local. Entité de sécurité: CN=remote.xxxxxx-xxxxx.es.

J’ai tenté d’appliquer diverses solutions trouver sur Internet mais sans résultat.
Pourriez-vous m’aider à identifier mon erreur et m’indiquer quelle procédure appliquer?

Par avance merci pour l’attention que vous voudrez bien me porter.
Bien cordialement.
Jacques

Cédric GEORGEOT
13 années il y a
Répondre à  Jacques

Hello,

Il convient d’acheter un certificat SSL pour bien faire et d’activer un enregistrement de type A à votre nom de domaine.

Cordialement

Francois
Francois
13 années il y a

Bonjour,
pourquoi avoir autorisé les mises à jours dynamiques sécurisées ET non sécurisées pour la reverse zone DNS ?
cordialement

Cédric GEORGEOT
13 années il y a
Répondre à  Francois

Bonjour,
Simplement pour des raisons de compatibilité (passerelle Linux, …), sachant que les MAJ dynamiques sécurisées ne sont supportées que pour les zones AD intégrées.

Etienne
Etienne
13 années il y a

Bonjour,

J’ai installé et configuré SBS2008 en utilisant en partie ce tutorial. Il est très complet et très bien fait. Bravo.
Après avoir commencé à déployer 2 utilisateurs, ceux-ci m’ont fait remarquer que la règle de nommage des comptes et adresse mail que j’ai mis en place ne leur est pas très conviviale (première lettre du prénom+nom de famille). Ils préfèreraient prénom.nom ou quelque chose du genre. Y’a t’il un moyen de modifier la règle de nommage qu’on a définit avec l’assistant de création du domaine ?

Merci.

Cédric GEORGEOT
13 années il y a
Répondre à  Etienne

Bonjour,
Merci pour votre soutien !
Oui il est tout à fait possible de le faire, documentez-vous ici => http://technet.microsoft.com/fr-fr/library/aa998940(EXCHG.80).aspx ou encore icic => http://www.msexchange.org/articles_tutorials/exchange-server-2007/management-administration/managing-email-address-policies.html
Bon courage

osbert Deyonta
osbert Deyonta
12 années il y a

que Dieu vous benisse, un seul mot CONTINUEZ

PLOQUE
PLOQUE
12 années il y a

Merci de toutes ces explications qui m’ont été d’une grande importance dans la configuration de mon serveur Windows 2008.

Seulement le lien de téléchargement du guide au format PDF ne marche pas.

Pouvez-vous le rendre à nouveau opérationnel.

Très cordialement.

Cédric GEORGEOT
12 années il y a
Répondre à  PLOQUE

Bonjour,

Merci pour votre soutien. Vous trouverez le guide à cette adresse http://www.e-novatic.fr/wp-content/files/guideAD.pdf.

Cordialement

Kepka
Kepka
12 années il y a

Bonjour à tous,

Voila je viens demander un peu d’aide j’ai suivi à la lettre le tutorial. Tout c’est très bien passé. Cependant deux petits problèmes : Quand je fais un nslookup sur le serveur j’ai serveur par default unknown et en adresse : ::1. De plus impossible de mettre un pc au domaine à chaque fois j’ai une erreur comme quoi il ne trouve pas le domaine.

Help me please !!

Cédric GEORGEOT
12 années il y a
Répondre à  Kepka

Bonjour,

Concernant le 1er problème, il convient de désactiver IPv6 => http://www.e-novatic.fr/ip-v6-dans-windows-serveur-2008
Le 2eme problème vient typiquement d’un problème de DNS. As-tu paramétré tes postes en DHCP ? Et le serveur DHCP contient t’il bien toutes les informations relatives au(x) serveur(s) DNS (suffixe, IP, …) ?

Cédric

Kepka
Kepka
12 années il y a
Répondre à  Cédric GEORGEOT

J’ai résolu mon problème merci !

Kepka
Kepka
12 années il y a

D’accord si je ne désactive pas IPv6 cela peux poser problème ?
Je suis pas un grand expert en la matière mais sinon mes pc sont bien en DHCP ( ip automatique ) sinon pour les informations de suffix, ip et autre normalement tout est correct j’ai vraiment suivi le tutorial à la lettre. Je suis actuellement au travaille je pourrais vérifier ce soir sinon auriez vous une capture d’écran ou autre pour avoir une petit idée des paramètres à vérifier ?

Laurent
Laurent
12 années il y a

Bonjour,
J’ai une petite question en tête, j’ai optimisé ma config grace à ton tuto donc un grand merci.
Seulement j’ai laissé le routeur gérer les adresses IP (en auto) est-ce que cela peut réduire les performances du réseau/ serveur ?

Cédric GEORGEOT
12 années il y a
Répondre à  Laurent

Bonjour,

Cela va fonctionner, par contre vous pourrez expérimenter des lenteurs a cause d’une mauvaise résolution DNS. En effet, les routeurs sont assez pauvres au niveau de la configuration des enregistrements, comme les suffixes dns, par exemple.

Laurent
Laurent
12 années il y a

Merci pour la réponse, c’est le cas c’est pour ça que je me suis posé la question.

curtis
curtis
12 années il y a

merci j’ai viens de lire votre tuto.
c’est bien expliquer

curtis
curtis
12 années il y a

svp! est- ce que pour installer ad dans un ordinateur muni de winserv2008 il faut nécessairement etre connecter á un réseau?

Cédric GEORGEOT
12 années il y a
Répondre à  curtis

Qu’appelez-vous connecté à un réseau, car AD sans réseau ne sert à rien…

curtis
curtis
12 années il y a

une autre question est de savoir dans quel endroit la machine stocke t- elle la connexion internet.
car je veux concevoir une application qui permet de se connecter dans un réseau.

Cédric GEORGEOT
12 années il y a
Répondre à  curtis

Ce n’est pas très clair. Je vous propose d’aller sur les forums Microsoft Technet pour y exposer votre projet !

mCarthur
mCarthur
12 années il y a

Erreur sur le serveur de fichier kelin pour m’aider svp

Le service de réplication DFS n’a pas pu contacter le contrôleur de domaine pour accéder aux informations de configuration. La réplication est arrêtée. Le service tentera à nouveau lors du prochain cycle d’interrogation, dans 60 minutes. Cet événement a pu être entraîné par des problèmes liés à la connectivité TCP/IP, au pare-feu, aux services de domaine Active Directory ou au service DNS.

Cédric GEORGEOT
12 années il y a
Répondre à  mCarthur

Les forums Technet seront plus adaptés pour obtenir une réponse !

xingho
xingho
12 années il y a

@curtis

Expose ton environnement/tes besoins peut être on pourras t’aider… tes commentaires ne son pas du tout claire !

Olivier Adagra
Olivier Adagra
12 années il y a

Dans la partie
Variable de l’ environnement , vous avez ecrit :
« Pour cela, copier le chemin de votre Ressource Kit et copiez-le à la fin. »

comment le fait t on , je n ‘ arrive pas à saisir cette phrase , de quel fin il s’ agit .
Merci pour vos precieux conseils

Cédric GEORGEOT
12 années il y a
Répondre à  Olivier Adagra

Bonjour,
En fait dans la variable PATH, il est impératif, pour des raisons de vitesse d’exécution de mettre les chemins systèmes (Windows, System32, etc…) car l’OS cherche en premier lieu dans ces paths. Donc, dans notre exemple il convient de copier le path « c:\program files\support tools\ » tout à la fin de la ligne.

Ben
Ben
12 années il y a

Bonjour,

1.Vous dites :
raid1 sys et raid5 data, c’est important, car l’installation de l’Active Directory désactive le cache en écriture sur le volume physique !
Vous pouvez préciser pourquoi, j’ai un rais 5 (system et data) actuellementb sans problème.
Aussi MS préconise de mettre NTDS et sysvol dans une partition différente du system ?.

2.MS préconise de mettre 127.1.0.0 comme server dns préféré sur les servers dns ?.

3.Donc vous conseillé d’installer un server wins, pourquoi est-ce plus rapide que le dns ?.

Cordialement.

Cédric GEORGEOT
12 années il y a
Répondre à  Ben

@Ben, certaines erreurs de compréhension du billet, je m’explique:
1. Effectivement, un seul RAID ne pose pas de problèmes sur de petites infra, par contre, sur des réseaux plus importants cela peut être pénalisant. Je parle de bonnes pratiques, à vous de juger s’il est bon de la mettre en oeuvre ou non. Le cache en écriture est désactivé du fait du contrôle permanent de l’AD, d’où d’ailleurs les problèmes de P2V recontrés !
2. ABSOLUMENT FAUX, MS ne préconise certainement pas l’adresse de bouclage ! Il faut mettre renseigner l’IP du serveur en question !
3. Je ne conseille pas d’installer WINS absolument il n’est pas plus rapide que DNS. DNS est essentiel pour les environnements AD, WINS peut ne pas être installé mais conseillé pour des postes dont l’OS est ancien (NT4.0, ….) ou certains OS divers (Linux, …)

Ben
Ben
12 années il y a

Bonjour,

1.Je n’ai pas compris en quoi la désactivation du cache en écriture pas l’AD pourrait poser problème dans system raid 5 (system et data).Merci de m’éclairer.

2.Concernant l’ip de bouclage, comme le server dns pointe sur lui-même, il est possible de mettre l’ip de bouclage en primaire .Uniquement sur le server biensur.Possible depuis windows 2008 ?.

3.Aussi MS préconise de mettre NTDS et sysvol dans une partition différente du system ?.

4.Concernant wins, j’ai des applications(norton, userlock,…) qui travail sur netbios, via wins ils trouveront plus rapidement les machines clientes ?.

Merci.

Cordialement.

Cédric GEORGEOT
12 années il y a
Répondre à  Ben

1. ça ne pose aucun problème, juste un problème de performance sur de grosses infra du fait de la désactivation du cache !
2. le 127.0.0.1 EST A BANNIR ! Cette adresse sert à des fins de diags !
3. Oui, sur les grosses infra !
4. WINS va effectivement améliorer la résolution de noms 😉

Ben
Ben
12 années il y a
Répondre à  Cédric GEORGEOT

Bonjour,

Excusez-moi d’insister, c’est juste pour on avoir le coeur net.

Sur se site :
http://www.alexwinner.com/articles/win2008/7-installad2008r2.html

Il est dit :
…..De plus, pensez à mettre l’adresse de boucle locale du serveur (127.0.0.1) comme serveur DNS primaire.

Cordialement.

Cédric GEORGEOT
12 années il y a
Répondre à  Ben

Je connais ce site, qui est de grande qualité, et tenu par un MVP comme moi. Microsoft recommande aussi l’adresse de loopbacl, mais sur ce coup c’est pas bon, voir le retour d’expérience http://bit.ly/z2LcyQ

Ben
Ben
12 années il y a

Finalement, commme je disais plus haut, MS recommande bien le loopback…Cependant il donc déconseillé contenu des retours d’expériences.

Personnellement, je n’ai pas de problème particulier, mon 2° DC/DNS porte bien l’ip de bouclage en dns primaire.

Je garde ce sujet à l’oeil, en cas de problème je faire la modification.

Bien à vous.

Ben
Ben
12 années il y a

Bonjour,

Complément d’information :

http://technet.microsoft.com/fr-fr/library/ff807362%28v=ws.10%29.aspx

L’inclusion de sa propre adresse IP dans la liste des serveurs DNS améliore les performances et augmente la disponibilité des serveurs DNS. Toutefois, si le serveur DNS est également un contrôleur de domaine et il souligne que pour lui-même pour la résolution de nom, il peut devenir une île et ne parviennent pas à répliquer avec d’autres contrôleurs de domaine. Pour cette raison, faire preuve de prudence lors de la configuration de l’adresse de bouclage sur un adaptateur si le serveur est également un contrôleur de domaine. L’adresse de bouclage doit être configuré uniquement comme un serveur DNS secondaire ou tertiaire sur un contrôleur de domaine.

Bien à vous.

Ben
Ben
12 années il y a

Effectivement la personne du site alexwinner a fait une erreur et répondu :

Intéressant!

En fait, j’ai commis une erreur en le plaçant en DNS primaire (ca merite donc une mise à jour) mais l’indiquer reste intéressant et même préconisé pour un serveur DNS.

la réponse à ta question se trouve sur ce lien: « http://technet.microsoft.com/fr-fr/library/ff807362(v=ws.10).aspx »
Merci pour ton commentaire.

Ben
Ben
12 années il y a

Bonjour,

Apparemment dans 2003, la variable d’environnement pour le ressource kit est configurer par défaut au début.

Cordialement.

Cédric GEORGEOT
12 années il y a
Répondre à  Ben

Exactement, d’où l’astuce dans ce billet.

Limak
Limak
12 années il y a

Merci beaucoup pour ce guide très pratique.

AlBatard78
AlBatard78
12 années il y a

Le nom de domaine en .ad est à éviter car correspond à l’Andorre.

Cordialement,

Cédric GEORGEOT
12 années il y a
Répondre à  AlBatard78

Je n’y avais pas pensé. Merci de ton retour !

Prisma
Prisma
11 années il y a

Merci beaucoup pour ces explications, on peut pas faire mieux. Pour ma première fois mon serveur tourne nickel et tout bien configuré. Encore un grand merci.

midamar229
midamar229
11 années il y a

merci beaucoup pour ce tutoriel,il est tres pratique pour un debutant.

Cédric GEORGEOT
11 années il y a
Répondre à  midamar229

Avec plaisir !

Ben
Ben
11 années il y a

Bonjour,

Dans le cas d’un raid 1 system et raid 5 data, les applications doivent être installé sur le raid 1 ou le raid 5 ?.

Bien à vous.

Cédric GEORGEOT
11 années il y a
Répondre à  Ben

Le système sur un RAID-1, les données et applications (tout sauf le « système ») sur le RAID-5

Ben
Ben
11 années il y a

Bonjour,

En raison de la façon dont les bases de données fonctionnent http://en.wikipedia.org/wiki/ACID , le système d’exploitation
va essayer de désactiver le cache d’écriture pour éviter les incohérences de base de données si un
rupture brusque se produit au milieu de la transaction.

Si votre contrôleur RAID dispose d’une batterie de secours, il est généralement plus sûr de laisser
le cache en écriture activé sur le disque.

Dans ce cas le raid 5 avec le system, gain performance et capacité hdd ?.

Bien à vous.

Cédric GEORGEOT
11 années il y a
Répondre à  Ben

Effectivement, il est recommandé d’acheter une batterie pour contrôleur RAID, sinon configurer le cache en Write-Through.
Le gain de performance peut être constaté si la pile RAID-5 est grande, sinon c’est plus une bonne pratique en cas de crash, suffit de sortir les disques DATA pour les intégrer dans un autre serveur.

Ben
Ben
11 années il y a
Répondre à  Cédric GEORGEOT

c’est plus une bonne pratique en cas de crash, suffit de sortir les disques DATA pour les intégrer dans un autre serveur.

Une pile de hdd en raid 5 peut être transposé sur un autre server ?.

Bien à vous,

Cédric GEORGEOT
11 années il y a
Répondre à  Ben

Oui, cela est tout à fait possible à la condition que les cartes RAID soient identiques et disposent du même firmware, c’est la règle de base. Cependant, certaines gammes de cartes sont inter-compatibles selon certains modèles.

Ben
Ben
11 années il y a

Bonjour,

D’avoir deux volumes RAID, un RAID-1 (C:) pour le système et un RAID-5 (D:) pour vos données. C’est important, car l’installation de l’Active Directory désactive le cache en écriture sur le volume physique !

Pas, si votre carte raid dispose d’un cache dédié ?.

Bien à vous,

Cédric GEORGEOT
11 années il y a
Répondre à  Ben

L’installation d’AD désactive les mécanismes de cache du système d’exploitation, cela est différent des mécanismes de cache des cartes RAID. Si un cache est activé, il convient absolument de le protéger avec une batterie. AD désactive le cache car un contrôle permanent est exercé sur les bases AD, ainsi en cas de coupure de courant brutale, aucune donnée n’est conservée dans le cache et évite ainsi une corruption majeure.

Ben
Ben
11 années il y a

Bonjour,

Merci pour vos réponses.

En fait, je dois installer un nouveau server (AD-DHCP-DNS-RADIUS) ML385 G7 avec 5 hdd de 143 gb, avec une carte raid de 256 mg de cache, et j’hésite entre un full raid 5 ou raid 1 system et raid 5 data (1 hdd en sus de perdu)…après tout ce que j’ai lu et entendu, le mieux et le plus simple pour un petit réseau avec un seul site et moins de 900 users, est le raid 5.Car les différences de performance sont insignifiante ?.Qu’en pensez-vous ?.

Bien à vous.

Cédric GEORGEOT
11 années il y a
Répondre à  Ben

Les bonnes pratiques feront que l’option RAID 1 et 5 est à retenir, maintenant la configuration RAID 5 est tout à fait correcte également.

ben
ben
10 années il y a

Bonjour,

Il serait intéressanr de rajouter ceci :
Vérification post-installation

Lancer la commande « repadmin /syncall » depuis le 2008 pour forcer une réplication et « repadmin /showrepl » pour vérifier si la réplication fonctionne correctement.

Cordialement.

ben
ben
10 années il y a

Rebonjour,

La commande net time /setsntp est obselète.

Cordialement.

64
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x