bienvenue

BienvenueBienvenue

Migration vers Windows Migration vers Windows 2000 et gestion d'un 2000 et gestion d'un annuaire d'entrepriseannuaire d'entrepriseComment planifier, déployer , Comment planifier, déployer , administrer une infrastructure administrer une infrastructure serveurs Microsoft Windows 2000 serveurs Microsoft Windows 2000

LogLogistiqueistique

Pause en milieu de session

Vos questions sont les bienvenues.N’hésitez pas !

Feuille d’évaluation à remettre remplie en fin de session

Mallette

Commodités Merci d’éteindre vos téléphones

PrérequisPrérequis

Pour une bonne compréhension de Pour une bonne compréhension de cette session, il est préférable que cette session, il est préférable que vous ayez une expérience dans les vous ayez une expérience dans les domaines suivants :domaines suivants : Microsoft Windows NT 4.0Microsoft Windows NT 4.0 Active Directory (notions de base)Active Directory (notions de base)

Ce séminaire est d’un niveau Ce séminaire est d’un niveau

ConfirméConfirmé

AgendaAgenda IntroductionIntroduction Définition de l'espace de noms Active DirectoryDéfinition de l'espace de noms Active Directory Audit de l’existantAudit de l’existant Planification des servicesPlanification des services Scenarii de migration Scenarii de migration Outils de migrationOutils de migration Restructuration des domainesRestructuration des domaines NettoyageNettoyage Outils d’administrationOutils d’administration Conclusion / Q&AConclusion / Q&A

Définition de l'espace de Définition de l'espace de noms Active Directorynoms Active Directory Ne pas hésiter à viser les topologies Ne pas hésiter à viser les topologies

idéalesidéales Doit déboucher sur des livrablesDoit déboucher sur des livrables

Espace de noms des domaines AD et Espace de noms des domaines AD et DNSDNS

Topologie d'OUTopologie d'OU Topologie de sitesTopologie de sites

Quelques rappels...Quelques rappels...Qu'est-ce qu'Active Directory ?Qu'est-ce qu'Active Directory ?

SAM de MS Windows NTSAM de MS Windows NT

Contient :Contient :

Comptes utilisateursComptes utilisateurs Groupes GlobauxGroupes Globaux Groupes LocauxGroupes Locaux Comptes spéciauxComptes spéciaux Stratégies de comptesStratégies de comptes Stratégies d'auditStratégies d'audit Stratégies des droits Stratégies des droits

utilisateurutilisateur 40Mo maxi 40Mo maxi

recommandésrecommandés

AD de MS Windows 2000AD de MS Windows 2000

La même chose, plus :La même chose, plus :

ContactsContacts Groupes de distributionGroupes de distribution Groupes UniverselsGroupes Universels Groupes Locaux de domaineGroupes Locaux de domaine OUOU Dossiers publiésDossiers publiés Imprimantes publiéesImprimantes publiées GPOGPO Eléments de configuration de Eléments de configuration de

services (DNS, RPC, DFS)services (DNS, RPC, DFS) Accès par des protocoles Accès par des protocoles

standard (LDAP, DNS)standard (LDAP, DNS) Peut contenir des millions Peut contenir des millions

d'objetsd'objets

Un serveur Windows NT peut êtreUn serveur Windows NT peut être Contrôleur Principal de Domaine (PDC)Contrôleur Principal de Domaine (PDC) Contrôleur Secondaire de Dmaine (BDC)Contrôleur Secondaire de Dmaine (BDC) Serveur MembreServeur Membre

Un Serveur Windows 2000 peut être :Un Serveur Windows 2000 peut être : Contrôleur de Domaine (DC)Contrôleur de Domaine (DC) Serveur MembreServeur Membre

Quelques rappels...Quelques rappels...Rôle des serveursRôle des serveurs

DomaineDomaine

fr.tic.comfr.tic.com

tac.comtac.com

tic.comtic.com

Fr.tac.comFr.tac.com

ForêtForêt

ArbreArbre

de.tic.comde.tic.com

ArbreArbre

Quelques rappels...Quelques rappels...Topologie d’une forêtTopologie d’une forêt

DomaineDomaine

fr.tic.comfr.tic.com

tac.comtac.com

tic.comtic.com

fr.tac.comfr.tac.com

ForêtForêt

ArbreArbre


ArbreArbreOUOU

OUOU OUOU


Quelques rappels...Quelques rappels...Topologie d’une forêtTopologie d’une forêt

3 types de relations d'approbation3 types de relations d'approbation

ImplicitesImplicites BidirectionnellesBidirectionnelles TransitivesTransitives

Explicites (raccourcis)Explicites (raccourcis) UnidirectionnellesUnidirectionnelles TransitivesTransitives

Externes (inter-forêt)Externes (inter-forêt) UnidirectionnellesUnidirectionnelles Non TransitivesNon Transitives

Quelques rappels...Quelques rappels...Relations d’approbationRelations d’approbation

Dans une forêt, les domaines partagentDans une forêt, les domaines partagent Un même SchémaUn même Schéma Une même Partition de ConfigurationUne même Partition de Configuration Un même Catalogue GlobalUn même Catalogue Global

Dans un arbre, les domainesDans un arbre, les domaines Sont liés entre eux par des relations Sont liés entre eux par des relations

d'approbationd'approbation BidirectionnellesBidirectionnelles TransitivesTransitives

Définissent un espace de noms contiguDéfinissent un espace de noms contigu

Quelques rappels...Quelques rappels...Caractéristiques d’une forêtCaractéristiques d’une forêt

C'est une unité structurante de la forêt C'est une unité structurante de la forêt C'est une unité de réplicationC'est une unité de réplication

Partition de DomainePartition de Domaine Permet de limiter les volumes de réplicationPermet de limiter les volumes de réplication

C'est une unité d'administrationC'est une unité d'administration Les Stratégies de Délégation ne franchissent pas Les Stratégies de Délégation ne franchissent pas

les frontières du Domaineles frontières du Domaine Les Stratégies de Groupes et de Sécurité ne Les Stratégies de Groupes et de Sécurité ne

franchissent pas les frontières du Domainefranchissent pas les frontières du Domaine

Tout domaine dispose d'un nom DNSTout domaine dispose d'un nom DNS

Quelques rappels...Quelques rappels...Caractéristiques d’un domaineCaractéristiques d’un domaine

Combien de forêts ?Combien de forêts ? Combien de domaines dans chaque Combien de domaines dans chaque

forêt ?forêt ? Comment agencer ces domaines ?Comment agencer ces domaines ? Comment ces domaines Comment ces domaines

s'appelleront-ils ?s'appelleront-ils ?

Espace de noms des domainesEspace de noms des domainesQuestions poséesQuestions posées

Au départ : Une forêtAu départ : Une forêt Une forêt de plus ? Il faut argumenter !Une forêt de plus ? Il faut argumenter !

Nécessité de préserver des schémas distinctsNécessité de préserver des schémas distincts Refus de dévoiler ma topologie de DomainesRefus de dévoiler ma topologie de Domaines Désaccord sur la composition des groupes Désaccord sur la composition des groupes

sensiblessensibles Administrateurs de SchémaAdministrateurs de Schéma Administrateurs de l'EntrepriseAdministrateurs de l'Entreprise

Souhait de conserver la maîtrise des Souhait de conserver la maîtrise des approbationsapprobations

Espace de noms des domainesEspace de noms des domainesCombien de forêts ?Combien de forêts ?

Un domaine ne peut pas changer de forêtUn domaine ne peut pas changer de forêt Déplacement d'objets :Déplacement d'objets :

On sait migrer des objets d'un domaine vers un On sait migrer des objets d'un domaine vers un autreautre

Mais ce n'est pas toujours une opération anodine Mais ce n'est pas toujours une opération anodine !!

On ne sait pas interroger le Catalogue Global On ne sait pas interroger le Catalogue Global d'une autre forêt ...d'une autre forêt ...

... A moins de passer par un Méta-Annuaire ?... A moins de passer par un Méta-Annuaire ?

Espace de noms des domainesEspace de noms des domainesCombien de forêts ? Contraintes…Combien de forêts ? Contraintes…

Au départ : Un domaineAu départ : Un domaine Un domaine de plus ? Il faut argumenter !Un domaine de plus ? Il faut argumenter !

Délégation ne suffit pasDélégation ne suffit pas Nécessité de mettre en œuvre des stratégies Nécessité de mettre en œuvre des stratégies

spécifiques de :spécifiques de : Gestion des mots de passeGestion des mots de passe Verrouillage des comptesVerrouillage des comptes Gestion des tickets KerberosGestion des tickets Kerberos

Soucis d'optimiser la réplicationSoucis d'optimiser la réplication Restructuration prévue, mais plus tardRestructuration prévue, mais plus tard

Espace de noms des domainesEspace de noms des domainesCombien de domaines ?Combien de domaines ?

Le premier domaine créé devient la Le premier domaine créé devient la racine de la forêtracine de la forêt

Il donne son nom à la forêtIl donne son nom à la forêt Il héberge deux groupes sensibles :Il héberge deux groupes sensibles :

Admins de l'entrepriseAdmins de l'entreprise Admins du SchémaAdmins du Schéma

Choix d'un domaine RacineChoix d'un domaine Racine A choisir parmi les domaines définis A choisir parmi les domaines définis

précédemmentprécédemment Ou a créer pour les besoins de la causeOu a créer pour les besoins de la cause

Espace de noms des domainesEspace de noms des domainesDéfinition de la racine de la forêtDéfinition de la racine de la forêt

Tout domaine AD est repéré par un nom DNSTout domaine AD est repéré par un nom DNS Domaines AD vs Domaines DNSDomaines AD vs Domaines DNS

Domaine AD Domaine AD Organisation Organisation logiquelogique des objets AD des objets AD Domaine DNS Domaine DNS LocaliserLocaliser des hôtes et des services des hôtes et des services

Nom du domaine racineNom du domaine racine Détermine l'espace de nom de tout l'arbreDétermine l'espace de nom de tout l'arbre Ne peut (pratiquement) pas être modifiéNe peut (pratiquement) pas être modifié Doit permettre d'intégrer de façon harmonieuse toutes Doit permettre d'intégrer de façon harmonieuse toutes

les entités présentes et à venir de l'arbreles entités présentes et à venir de l'arbre

Espace de noms des domainesEspace de noms des domainesNommage des domainesNommage des domaines

Affecter un nom à chaque domaine, Affecter un nom à chaque domaine, en partant de la racine de chaque en partant de la racine de chaque arbrearbre

Ne pas s'écarter des "standard"Ne pas s'écarter des "standard" RFC 1123 : A RFC 1123 : A Z ; 0 Z ; 0 9 ; - 9 ; - Eviter UnicodeEviter Unicode Utiliser des noms DNS enregistrésUtiliser des noms DNS enregistrés

Draft ".local" a été abandonnéeDraft ".local" a été abandonnée

Préférer les noms courtsPréférer les noms courts

Espace de noms des domainesEspace de noms des domainesRègles deRègles de NommageNommage

Quel nom pour la Racine ?Quel nom pour la Racine ? Tfc.fr ?Tfc.fr ? Vieuxchaudron.fr ?Vieuxchaudron.fr ?

Eviter les recouvrementsEviter les recouvrements En choisissant des noms différentsEn choisissant des noms différents En choisissant un sous-domaine du domaine En choisissant un sous-domaine du domaine

publicpublic Pas de Proxy Proxy

Noms identiques Sync DNS pub et DNS privé Sync srvs pub sur réseau privé

Fichier PAC

Noms différents ou sous-domaine

OK Liste d'exclusions

Espace de noms des domainesEspace de noms des domainesEspaces de noms privé et publicEspaces de noms privé et public

Topologie d'OUTopologie d'OURôles des unités organisationnellesRôles des unités organisationnelles

Les OU peuvent servir àLes OU peuvent servir à Organiser les objetsOrganiser les objets Ne pas tout montrer à tout le mondeNe pas tout montrer à tout le monde Définir des périmètres de délégationDéfinir des périmètres de délégation Définir des périmètres d'application pour les Définir des périmètres d'application pour les

GPOGPO

Une OU contient des objets et pas des Une OU contient des objets et pas des références à des objetsréférences à des objets

Une OU n'est pas un Security PrincipalUne OU n'est pas un Security Principal

OUOU

OUOU OUOU

Les OU sLes OU sonont faitt faiteses pour faciliter la vie des pour faciliter la vie des administrateurs, pas celle des utilisateursadministrateurs, pas celle des utilisateurs

Penser en termes d'organisation administrativePenser en termes d'organisation administrative Qui gère quoi ?Qui gère quoi ? Qui décide de qui gère quoi ?Qui décide de qui gère quoi ?

Préférer les arbres larges plutôt que profondsPréférer les arbres larges plutôt que profonds Raffiner la topologie plus tard reste possibleRaffiner la topologie plus tard reste possible

Facile à créer, déplacer, supprimer, renommerFacile à créer, déplacer, supprimer, renommer Point délicat : évaluer les conséquences sur la Point délicat : évaluer les conséquences sur la

délégation et l'application des GPOdélégation et l'application des GPO

Topologie d'OUTopologie d'OUOrganisation des OUOrganisation des OU

Topologie de sitesTopologie de sitesNotion de site Active DirectoryNotion de site Active Directory

Qu'est-ce qu'un Site ?Qu'est-ce qu'un Site ? Ensemble de machines "bien communicantes"Ensemble de machines "bien communicantes" Défini comme un agrégat de subnets IPDéfini comme un agrégat de subnets IP Suppose un subnetting géographiqueSuppose un subnetting géographique

Qui utilise les sites ?Qui utilise les sites ? Station Station Localiser un DC proche Localiser un DC proche KCC KCC Limiter le trafic de réplication sur Limiter le trafic de réplication sur

liaisons lentesliaisons lentes Client DFS Client DFS Localiser un replica proche Localiser un replica proche Utilisateur Utilisateur Localiser une imprimante proche Localiser une imprimante proche

Qui réplique avec qui ?Qui réplique avec qui ? Tout automatique : Le KCC est livré à lui-mêmeTout automatique : Le KCC est livré à lui-même Semi-automatiqueSemi-automatique

Fournir quelques indices au KCCFournir quelques indices au KCC Créer manuellement quelques connexionsCréer manuellement quelques connexions Ajouter de liens de siteAjouter de liens de site Désigner des têtes de pontDésigner des têtes de pont

Tout manuelTout manuel Créer toutes les connexions manuellementCréer toutes les connexions manuellement Inhiber le KCC : Q242780Inhiber le KCC : Q242780

Topologie de sitesTopologie de sitesDéfinition d’une topologie de réplicationDéfinition d’une topologie de réplication

Intra-site Inter-site Compression Non Oui ( par défaut) Mode de réplication Notifier/Tirer Tiré schedulé Fréquence 5min (par défaut) 3h (par défaut) Transport RPC RPC ou SMTP Connexions Entre tout DC Entre Têtes de pont

Topologie de sitesTopologie de sitesRéplication inter-sites et intra-sitesRéplication inter-sites et intra-sites

Sur chaque site, prévoirSur chaque site, prévoir Un Global Catalog ServerUn Global Catalog Server

De préférence tête de pontDe préférence tête de pont Ne doit pas être Infrastructure MasterNe doit pas être Infrastructure Master

Du DNS qui marche !Du DNS qui marche !

Eviter de créer des sites sans DCEviter de créer des sites sans DC Toute correction reste possibleToute correction reste possible

Créer/Supprimer des subnetsCréer/Supprimer des subnets Ajouter/Supprimer des sites et des liens de siteAjouter/Supprimer des sites et des liens de site Affecter des serveurs à des sitesAffecter des serveurs à des sites

Surveiller le journal "Active Directory" !Surveiller le journal "Active Directory" !

Topologie de sitesTopologie de sitesQuelques règles simplesQuelques règles simples

Auditer la sourceAuditer la source Etablir la topologie de domaines NTEtablir la topologie de domaines NT Séquencer les opérations de Séquencer les opérations de

migrationmigration Définir des règles de nommage Définir des règles de nommage

communescommunes Assainir les bases de comptes NT et Assainir les bases de comptes NT et

ExchangeExchange Identifier les machines qui poseront Identifier les machines qui poseront

problèmeproblème

Auditer la sourceAuditer la sourceTopologie de domaines NT de l'environnement de départTopologie de domaines NT de l'environnement de départ

tfc.frtfc.fr

mktg.tfc.frmktg.tfc.fr

corp.pbr.frcorp.pbr.fr

SIEGE

RouenRouen BordeauxBordeaux StrasbourgStrasbourg

PBR

tfc.frtfc.fr

mktg.tfc.frmktg.tfc.fr

corp.pbr.frcorp.pbr.fr

SIEGE

RouenRouen BordeauxBordeaux StrasbourgStrasbourg

PBR

utils

ordis

utilsutilsordis

Auditer la sourceAuditer la sourceSchéma de principe de déplacement des principalsSchéma de principe de déplacement des principals

Migration "In Place"Migration "In Place"

CaractéristiquesCaractéristiques Retour arrière délicatRetour arrière délicat Envisageable siEnvisageable si

peu de DC dans le domaine sourcepeu de DC dans le domaine source Topologies de domaines identiques au départ et à l'arrivéeTopologies de domaines identiques au départ et à l'arrivée

PDC BDC

Upgrade

DC Windows 2000

BDC

OUOU

OUOU OUOU

Upgrade

DC Windows 2000

OUOU

OUOU OUOU

Auditer la sourceAuditer la sourceMigration « sur place » vs. restructurationMigration « sur place » vs. restructuration

Migration "Restructuration"Migration "Restructuration"

CaractéristiquesCaractéristiques Migration "ceinture et bretelles"Migration "ceinture et bretelles" Permet de migrer et de restructurer en Permet de migrer et de restructurer en

une seule opérationune seule opération

PDC BDC

DC Windows 2000

OUOU

OUOU OUOU

Cloner

Auditer la sourceAuditer la sourceMigration « sur place » vs. restructurationMigration « sur place » vs. restructuration

Choix d'un suffixe UPNChoix d'un suffixe UPN

Harmoniser des règles de nommageHarmoniser des règles de nommage Pour le DN : Nom Prénom ou Prénom NomPour le DN : Nom Prénom ou Prénom Nom Traitement des noms composésTraitement des noms composés Définir une règle commune pour le Logon NameDéfinir une règle commune pour le Logon Name

Auditer la sourceAuditer la sourceDéfinition des règles de nommage communesDéfinition des règles de nommage communes

A quitté la société depuis 3 ans

Compte verrouillé

Compte désactivé

Pas de mot de passe

Groupes redondants –

mêmes membres

Plus personne ne sait pourquoi ce groupe existe

Pas de membres

Auditer la sourceAuditer la sourceAssainir la base des comptes NTAssainir la base des comptes NT

WorkStationsServer

WorkStations

WorkStations

WorkStations

WorkStations

WorkStations

Server

Server

Server

WorkStations

100Mo d’espace disque restant

486 - 66 MHz

16 Mo RAM

100 à 400Mo d’espace disque restant

P166 - 64 MB RAM

Utilise uniquement IPX/SPX

Auditer la sourceAuditer la sourceIdentification des machines qui poseront problèmeIdentification des machines qui poseront problème

Serveur NT 4.0

Administrateurs

Frank

Lucien

Sandrine

Admins du domaine

Invité

Groupe “Ventes”

Groupe “Dépôt”

Etat de départ

Auditer la sourceAuditer la sourceElimination des trous de sécuritéElimination des trous de sécurité

Serveur NT 4.0

Administrateurs

Frank

Lucien

Sandrine

Admins du domaine

Invité

Groupe “Ventes”

Groupe “Dépôt”

Droits Utilisateur ?

Mot de passe des comptes locaux

"Administrateur" et "Invité"?

PermissionsNTFS?

Auditer la sourceAuditer la sourceElimination des trous de sécuritéElimination des trous de sécurité

Planifier les servicesPlanifier les services Localisation d'un contrôleur de Localisation d'un contrôleur de

domainedomaine DNS et Active DirectoryDNS et Active Directory Planifier DHCP et WINSPlanifier DHCP et WINS Mise à disposition des scriptsMise à disposition des scripts Stratégies système et GPOStratégies système et GPO

Planifier les servicesPlanifier les services

Un piège à éviterUn piège à éviter Toutes les stations seront authentifiées par Toutes les stations seront authentifiées par

le même DC Windows 2000le même DC Windows 2000 Pas d'équilibrage de chargePas d'équilibrage de charge Risque d'authentification par un DC éloignéRisque d'authentification par un DC éloigné

NLTEST : Réinitialiser le Secure ChannelNLTEST : Réinitialiser le Secure Channel

Localisation d'un Contrôleur de domaineLocalisation d'un Contrôleur de domaine

PDC

Pour pouvoir bénéficier des sitesPour pouvoir bénéficier des sites Il faut utiliser le nouveau LocatorIl faut utiliser le nouveau Locator

Windows 2000Windows 2000 W9x + AD ClientW9x + AD Client

Il faut être dans un domaine Windows 2000Il faut être dans un domaine Windows 2000

Planifier les servicesPlanifier les services Active Directory a besoin de DNS pourActive Directory a besoin de DNS pour

Résoudre des noms d'hôtesRésoudre des noms d'hôtes Localiser des servicesLocaliser des services

Serveurs ldap (DC)Serveurs ldap (DC) Serveur de Catalogue GlobalServeur de Catalogue Global

Pour supporter Active DirectoryPour supporter Active Directory Les Primaires et les secondaires doivent gérer Les Primaires et les secondaires doivent gérer

les enregistrements SRVles enregistrements SRV BIND BIND 4.9.6 4.9.6

Le Primaire devrait savoir gérer les mises à Le Primaire devrait savoir gérer les mises à jour dynamiquesjour dynamiques BIND BIND 8.1.2 8.1.2

DNS et Active DirectoryDNS et Active Directory


Si un serveur DNS ne satisfait pas aux critèresSi un serveur DNS ne satisfait pas aux critères Mise à jour vers une version qui supporteMise à jour vers une version qui supporte Création d'un domaine délégué confié à un DNS qui Création d'un domaine délégué confié à un DNS qui

supportesupporte

Les petits plus du DNS Windows 2000Les petits plus du DNS Windows 2000 Intégration Active DirectoryIntégration Active Directory ACL sur les enregistrements DNSACL sur les enregistrements DNS Horodatage et nettoyage automatiqueHorodatage et nettoyage automatique Tri par subnetTri par subnet IXFRIXFR

DNS : Choisir la bonne plate-formeDNS : Choisir la bonne plate-forme


Mes anciennes infrastructures DHCP Mes anciennes infrastructures DHCP et WINS restent opérationnelleset WINS restent opérationnelles

Migration vers DHCP 2000 m'offreMigration vers DHCP 2000 m'offre Enregistrement des clients pre-Windows Enregistrement des clients pre-Windows

2000 dans DNS2000 dans DNS Gestion des Classes d'OptionGestion des Classes d'Option

Planifier DHCP et WINSPlanifier DHCP et WINS


Pour que les clients Windows 2000 résolvent les Pour que les clients Windows 2000 résolvent les noms des clients pre-Windows 2000noms des clients pre-Windows 2000 Activer le forwarding WINS pour la zone ADActiver le forwarding WINS pour la zone AD ou Activer le mandatement DHCP pour que les clients ou Activer le mandatement DHCP pour que les clients

pre-Windows 2000 s'enregistrent dans DNSpre-Windows 2000 s'enregistrent dans DNS

Pour que les clients pre-Windows 2000 résolvent Pour que les clients pre-Windows 2000 résolvent les noms des clients Windows 2000les noms des clients Windows 2000 Leur attribuer l'adresse du serveur DNS via DHCPLeur attribuer l'adresse du serveur DNS via DHCP

Planifier DHCP et WINSPlanifier DHCP et WINS


Sous MS Windows NTSous MS Windows NT Scripts recherchés sur \\DC\NetlogonScripts recherchés sur \\DC\Netlogon Disponibilité nécessite la bonne configuration Disponibilité nécessite la bonne configuration

du service "Duplication de répertoires"du service "Duplication de répertoires"

Sous MS Windows 2000Sous MS Windows 2000 Scripts recherchés sur \\DC\NetlogonScripts recherchés sur \\DC\Netlogon Disponibilité garantie par le bon Disponibilité garantie par le bon

fonctionnement du service "File Replication fonctionnement du service "File Replication Service" (FRS)Service" (FRS)

Les deux services sont incompatiblesLes deux services sont incompatibles Prévoir un "pont" en environnement mixtePrévoir un "pont" en environnement mixte

Mise à disposition des scriptsMise à disposition des scripts

File Replication ServiceFile Replication Service Duplication Multi-maître et "Site Aware"Duplication Multi-maître et "Site Aware" Permet le filtrage des données exportéesPermet le filtrage des données exportées

Réplication de SysvolRéplication de Sysvol C:\Winnt\Sysvol\...\Scripts partagé en NetlogonC:\Winnt\Sysvol\...\Scripts partagé en Netlogon Replica Set automatiquement créé par le KCCReplica Set automatiquement créé par le KCC Utilise les mêmes objets connexions que ADUtilise les mêmes objets connexions que AD Intra-site : duplication "immédiate"Intra-site : duplication "immédiate" Inter-site : 1 heure à 15 minutesInter-site : 1 heure à 15 minutes

Diagnostic Diagnostic NTFRSUTIL NTFRSUTIL

Planifier les servicesPlanifier les servicesMise à disposition des scriptsMise à disposition des scripts

Planifier les servicesPlanifier les servicesPrésentation des GPOPrésentation des GPO

Des paramètres de configuration pourDes paramètres de configuration pour Distribution de logiciels (packages MSI)Distribution de logiciels (packages MSI) Sécurité : Stratégies de comptes, droits, auditSécurité : Stratégies de comptes, droits, audit Scripts : Logon, Logoff, Startup, ShutdownScripts : Logon, Logoff, Startup, Shutdown Administrative Templates (Registre) : ~ ntconfig.polAdministrative Templates (Registre) : ~ ntconfig.pol Redirection de dossiersRedirection de dossiers

Règles d'héritage et de filtrageRègles d'héritage et de filtrage Rafraîchissement en cours de sessionRafraîchissement en cours de session Application non persistante des stratégiesApplication non persistante des stratégies Réplication prise en charge par FRS et ADRéplication prise en charge par FRS et AD Diagnostic Diagnostic GPRESULT, GPOTOOL GPRESULT, GPOTOOL


Clients Windows NT et W9xClients Windows NT et W9x Ignorent les GPOIgnorent les GPO Copier ntconfig.pol vers \\DC\Netlogon d'un DC Copier ntconfig.pol vers \\DC\Netlogon d'un DC

Windows 2000Windows 2000

Client Windows 2000Client Windows 2000 Utiliser les GPOUtiliser les GPO Attention : il sait aussi consulter ntconfig.pol !Attention : il sait aussi consulter ntconfig.pol !

Ca se complique si le compte d'ordinateur et/ou Ca se complique si le compte d'ordinateur et/ou le compte d'utilisateur sont dans un domaine le compte d'utilisateur sont dans un domaine NT 4NT 4

GPO et Stratégies système en GPO et Stratégies système en environnement mixteenvironnement mixte

Mise à niveau et restructurationMise à niveau et restructuration

Migration de domaine

Windows 2000

OUOUOUOU OUOUOUOU

Windows 2000

Mise à niveau de domaine

Restructurationde domaine

Windows NT 4

11

2222

3333

Mise à niveauMise à niveauMaintien du modèle domaine actuelMaintien de la plupart des paramètres du système, des préférences et des installationsd'applications

Maintien du modèle domaine actuelMaintien de la plupart des paramètres du système, des préférences et des installationsd'applications

RestructurationRestructurationRésultat : domaines moins nombreux maisplus volumineux

Possible réduction de la chargeadministrative

Résultat : domaines moins nombreux maisplus volumineux

Possible réduction de la chargeadministrative

1ère solution de Mise à niveau1ère solution de Mise à niveau Mise à jour, Actualisation, upgrade Mise à jour, Actualisation, upgrade

““Mise à jour en lieu et place”Mise à jour en lieu et place” La stratégie la plus simple, la plus sûre La stratégie la plus simple, la plus sûre

(retour arrière possible)(retour arrière possible)

Maintient la structure existanteMaintient la structure existante

DMC

RES1 RES2 RES3

Mise à jour DMCDMC

RES3RES3RES2RES2RES1RES1

DMC = Domaine Maître de Comptes (MUD)

Considérations sur la mise à jourConsidérations sur la mise à jourÉtapes de la mise à jourÉtapes de la mise à jour

Environnement Pré-migration

Windows 2000Mode Natif

Mise à jour

Migration

DMC

PDC migré et aucun BDC migré

DMC

PDC et BDCs migrés, basculement au mode natif non effectué

DMC DMCDMC

PDC et BDCs migrés, mode natif

Mise à jour d’un domaineMise à jour d’un domaine

PDC

Windows NT4 Mise à jour du PDCMode Mixte

Membre

BDC

BDC

Garder un BDC offline

BDC

Mode Natif

Basculer en mode natif

Mise à jour des BDCs

Basculement en mode natifBasculement en mode natif

Mode natif = plus de BDC NTMode natif = plus de BDC NT

Raisons de basculer en mode natifRaisons de basculer en mode natif Gestion des groupes : imbrication, Gestion des groupes : imbrication,

groupes universelsgroupes universels Permettre au domaine d’être une cible Permettre au domaine d’être une cible

de restructurationde restructuration Éviter les limitations dues à la taille de Éviter les limitations dues à la taille de

la SAMla SAM

2eme solution de mise à niveau2eme solution de mise à niveauDéplacementDéplacement Définition d’un nouveau Définition d’un nouveau

domainedomaine Copie des comptes Copie des comptes

utilisateurs, machines et utilisateurs, machines et des groupes dans le des groupes dans le nouveau domainenouveau domaine

Cible

Source

Jeton d’accès de Chantal sur Srv1:User:

SID de DomCpt\Chantal Groupes:

SID Grp Secretaires

Sécurité Windows NTSécurité Windows NT

\\Srv1\Courriers: Accès complet

Grp Srv1\Secretaires Membres: DomCpt\Chantal

DomResDomRes

Poste deChantal

Srv1

DomCptDomCptChantal

\\Srv1\Courrier: Accès Complet

Srv1\Secretaires Membres: DomCpt\Chantal

Jeton d’accès de Chantal sur Srv1:User: DomCpt\Chantal SIDGroupes:

Srv1\Secretaires SIDDomResDomRes

Poste Chantal

Srv1

DomCptDomCptDomCpt\Chantal

Jeton d’accès de Chantal sur Srv1:User: ComptaCiti.fr\Chantal SIDGroupes:

DomCpt\Chantal SIDSrvCompta\Secretaires SID

Mise à Niveau par déplacementMise à Niveau par déplacement

Capaciti.frCapaciti.fr

ComptaCiti.fr\Chantal

sIDHistory: DomCpt\Chantal

OutilsOutils

Active Directory Migration Tool (ADMT)Active Directory Migration Tool (ADMT) Interface utilisateur graphique Snap in de la MMCInterface utilisateur graphique Snap in de la MMC

Migrer des utilisateursMigrer des utilisateurs Migrer des groupesMigrer des groupes Migrer des machinesMigrer des machines

““Support Tools” du Kit de RessourcesSupport Tools” du Kit de Ressources ClonePrincipalClonePrincipal

Objet COM scriptable, exemples de scripts fournisObjet COM scriptable, exemples de scripts fournis Clone des utilisateurs et des ressources de NT 4.0 vers un Clone des utilisateurs et des ressources de NT 4.0 vers un

environnement Windows 2000environnement Windows 2000 NetdomNetdom

> > Gestion des domaines Windows 2000 et des relations Gestion des domaines Windows 2000 et des relations d'approbationd'approbation

MoveTreeMoveTree> > Déplace des objets entre des domaines d'une même forêt Déplace des objets entre des domaines d'une même forêt

Outils de supportOutils de support

Teste le canal sécurisé, la présence des DCTeste le canal sécurisé, la présence des DC

Teste la connectivité réseau de bout en boutTeste la connectivité réseau de bout en bout

Vérifie et modifie la réplicationVérifie et modifie la réplication

Compare les données de l’annuaireCompare les données de l’annuaire

Vue graphique de la topologie de réplicationVue graphique de la topologie de réplication

Gestion de la base de l’annuaireGestion de la base de l’annuaire

Outil LDAP graphiqueOutil LDAP graphique

Snap-in MMC pour les contextes de nommageSnap-in MMC pour les contextes de nommage

Déplacement d‘objets entre domainesDéplacement d‘objets entre domaines

Gestion graphique de la réplicationGestion graphique de la réplication

Gestion batch des relations d’approbationGestion batch des relations d’approbation

• NLTESTNLTEST

• NETTESTNETTEST

• REPADMINREPADMIN

• DSASTATDSASTAT

• DOMMAPDOMMAP

• NTDSUTILNTDSUTIL

• LDPLDP

• ADSIEDITADSIEDIT

• MOVETREEMOVETREE

• REPMONREPMON

• NETDOMNETDOM

Les outils de Les outils de migration/consolidationmigration/consolidation

Active Directory Migration ToolsActive Directory Migration Tools Outil licencié auprès de Mission Critical Outil licencié auprès de Mission Critical

SoftwareSoftware Gratuit et localisé Gratuit et localisé Téléchargeable à partir du Web MicrosoftTéléchargeable à partir du Web Microsoft

NetIQ – OnePoint NetIQ – OnePoint FastLane Technologies – DM/Manager FastLane Technologies – DM/Manager

v5.0v5.0 Entevo - DirectManageEntevo - DirectManage

RestructurationRestructurationConsolidation, fusionConsolidation, fusion ““Consolidation” ou “fusion” Consolidation” ou “fusion” Déplacement des DCs entre domainesDéplacement des DCs entre domaines Re-concevoir une forêt idéaleRe-concevoir une forêt idéale

Restructuration DMCDMC

RES2RES2RES1RES1

DMC1

RES1 RES2 RES3

DMC2

Inter-forêt / Intra-forêtInter-forêt / Intra-forêt

Inter-forêt:Inter-forêt:• Active Directory Migration ToolActive Directory Migration Tool• ClonePrincipalClonePrincipal

SourceSource CibleCible

Intra-forêt:Intra-forêt:• Active Directory Migration ToolActive Directory Migration Tool• MoveTreeMoveTree

IntraInter

Conditions requises pour la Conditions requises pour la restructurationrestructuration Le domaine cible doit être un Le domaine cible doit être un

domaine Windows 2000 en mode domaine Windows 2000 en mode natifnatif

L'utilisateur qui effectue l'opération L'utilisateur qui effectue l'opération de restructuration doit disposer de de restructuration doit disposer de privilèges administratifs dans les privilèges administratifs dans les domaines source et cibledomaines source et cible

L'audit doit être activé sur les L'audit doit être activé sur les domaines source et cible des domaines source et cible des comptescomptes

Domaine UniqueDomaine Unique

Comptes d'utilisateurGroupes globauxGroupes locaux

Groupes prédéfinisComptes d'ordinateur

Comptes d'utilisateurGroupes globauxGroupes locaux

Groupes prédéfinisComptes d'ordinateur

Comptes d'utilisateur

Groupes locaux et globaux

Utilisateurs

Ordinateurs

Comptes d'ordinateur

Groupes prédéfinis

Prédéfini

DUBOIS

dubois.fr

Domaine MaîtreDomaine Maître

Comptes d'utilisateurGroupes globaux


AfriqueComptes d'ordinateur

Groupes locauxRessources

AmériqueNComptes d'ordinateur


AfriqueAfrique AmériqueNAmériqueN

COMPTOIRS


Groupes globaux

Utilisateurs

Comptoirs.fr

Domaine Maître MultipleDomaine Maître Multiple





Europe Asie

Bonn Tokyo

Comptoirs.com

Nouveau domaine racine


Bonn Tokyo

AsieEurope

Comptesd'ordinateur


Comptesd'ordinateur


Domaines Approbation Domaines Approbation TotaleTotale


Groupes globauxGroupes locaux

Groupes prédéfinisComptes

d'ordinateur




d'ordinateur




d'ordinateur




d'ordinateur




d'ordinateur




d'ordinateur

Juridique Vente

DistributionComptoirs.com



distribution juridique vente

AgendaAgenda IntroductionIntroduction Définition de l'espace de noms Active DirectoryDéfinition de l'espace de noms Active Directory Audit de l’existantAudit de l’existant Planification des servicesPlanification des services Scenarii de migration Outils de migration Restructuration des domaines NettoyageNettoyage Outils d’administrationOutils d’administration Conclusion / Q&AConclusion / Q&A

NettoyerNettoyer

En cas de migration SIDHistoryEn cas de migration SIDHistory Remplacer les ACE qui référencent les Remplacer les ACE qui référencent les

comptes du domaine source par des ACE qui comptes du domaine source par des ACE qui référencent les comptes issus de la migration.référencent les comptes issus de la migration.

Nettoyer les entrées SIDHistory dans ADNettoyer les entrées SIDHistory dans AD

Si les permissions, les groupes locaux et Si les permissions, les groupes locaux et les profils ont été mis à jourles profils ont été mis à jour Supprimer toutes les entrées qui référencent Supprimer toutes les entrées qui référencent

des comptes du domaine sourcedes comptes du domaine source

Nettoyer les ressources sur les serveursNettoyer les ressources sur les serveurs

Outils d'administrationOutils d'administration

Principaux outils d'administrationPrincipaux outils d'administration Utilisateurs et ordinateurs Active DirectoryUtilisateurs et ordinateurs Active Directory Sites et Services Active DirectorySites et Services Active Directory Domaines et Relations d'approbationDomaines et Relations d'approbation Gestion de l'ordinateurGestion de l'ordinateur

Adminpack.msi permet d'ajouter les outils Adminpack.msi permet d'ajouter les outils ADAD Sur les serveurs Windows 2000 non DCSur les serveurs Windows 2000 non DC Sur les stations Windows 2000 ProfessionalSur les stations Windows 2000 Professional

Outils standardOutils standard

La délégation des tâches administratives impose La délégation des tâches administratives impose la délégation des outils d'administrationla délégation des outils d'administration

Préparer des consoles personnalisées pourPréparer des consoles personnalisées pour Simplifier la vie des opérateursSimplifier la vie des opérateurs

Filtrer les objetsFiltrer les objets Filtrer les menusFiltrer les menus Créer des raccourcis vers les opérations autoriséesCréer des raccourcis vers les opérations autorisées

Limiter le risque d'incidentsLimiter le risque d'incidents

Les mettre à la disposition des opérateursLes mettre à la disposition des opérateurs Fournir des stations W2000 aux opérateursFournir des stations W2000 aux opérateurs Fournir un accès TS aux opérateursFournir un accès TS aux opérateurs

Outils d'administrationOutils d'administrationMMC et listes de tâches personnaliséesMMC et listes de tâches personnalisées

Outils WebAdmin de NT 4Outils WebAdmin de NT 4 KRT NT4 ou site MicrosoftKRT NT4 ou site Microsoft http://serveur/NTAdmin/NTAdmin.htmhttp://serveur/NTAdmin/NTAdmin.htm

Administration des imprimantesAdministration des imprimantes Natif sous Windows 2000Natif sous Windows 2000 http://serveur/print_sharehttp://serveur/print_share

Client Web pour Terminal ServicesClient Web pour Terminal Services Fournit avec le SP1 de Windows 2000Fournit avec le SP1 de Windows 2000 http://serveur/TSWebhttp://serveur/TSWeb

Outils d'administrationOutils d'administrationAdministration WebAdministration Web

Administration ADAdministration AD Délégation ADDélégation AD

DSACLSDSACLS ACLDIAGACLDIAG

Suivi des GPOSuivi des GPO GPResultGPResult GPOToolGPOTool

Diagnostics ADDiagnostics AD NLTESTNLTEST REPADMINREPADMIN LDPLDP ADSI EditADSI Edit REPLMONREPLMON

Les "classiques"Les "classiques" Outils de scriptingOutils de scripting

KixtartKixtart ScriptItScriptIt PerlPerl

Administration distanteAdministration distante Remote KillRemote Kill Remote cmdRemote cmd Remote consoleRemote console

Administration du posteAdministration du poste SoonSoon SrvanySrvany NowNow

Outils d'administrationOutils d'administrationSupport tools et Kit de ressources techniquesSupport tools et Kit de ressources techniques

Gestion des Gestion des utilisateursutilisateurs CreateUsers.vbsCreateUsers.vbs UserGroup.vbsUserGroup.vbs CreateGroups.vbsCreateGroups.vbs

DiagnosticsDiagnostics IRQres.vbsIRQres.vbs ListFreeSpace.vbsListFreeSpace.vbs Drives.vbsDrives.vbs

Administration du Administration du posteposte ProgramGroups.vbsProgramGroups.vbs Desktop.vbsDesktop.vbs NetConnections.vbsNetConnections.vbs

Gestion de la forêtGestion de la forêt SchemaDiff.vbsSchemaDiff.vbs ListDCs.vbsListDCs.vbs ListDomains.vbsListDomains.vbs

KRT : Près de 100 scripts vbs polyvalentsKRT : Près de 100 scripts vbs polyvalents

Créez vos propres outils !Créez vos propres outils !

Outils d'administrationOutils d'administrationOutils VBScriptOutils VBScript

Se former…Se former… CoursCours

Implémentation et administration des services Implémentation et administration des services d'annuaire Microsoft Windows 2000 (durée : 5 jours, réf.d'annuaire Microsoft Windows 2000 (durée : 5 jours, réf.2174) 2174)

Conception d'une stratégie de migration vers MicrosoftConception d'une stratégie de migration vers MicrosoftWindows 2000 (durée : 2 jours, réf. 2041) Windows 2000 (durée : 2 jours, réf. 2041)

Préparation de la migration vers Microsoft Windows 2000Préparation de la migration vers Microsoft Windows 2000(durée : 5 jours, réf. 1555) …(durée : 5 jours, réf. 1555) …

Tous les cours sur Windows 2000 Server, et lesTous les cours sur Windows 2000 Server, et lesCentres de formation dans votre région sont sur :Centres de formation dans votre région sont sur :http://http://www.microsoft.comwww.microsoft.com//francefrance/formation/recherche/cours//formation/recherche/cours/default.aspdefault.asp??produitIDproduitID=201=201

Livres Microsoft Press sur Windows 2000 Server :Livres Microsoft Press sur Windows 2000 Server :http://www.microsoft.com/france/mspresshttp://www.microsoft.com/france/mspress

http://www.microsoft.com/france/formation/recherche/cours/default.asp?produitID=201









http://www.microsoft.com/france/mspress

DialogueDialogue

http://www.microsoft.com/france/technet/

A bientôtA bientôtet merci d’être venus...et merci d’être venus...

bienvenue

Documents