Active Directory WS2003

Active Directory WS2003 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 01-10-2012 à 10:39:49    

Bonjour à tous,
 
j'ai un ptit pépin avec mon AD ( Active Directory ) , pour commencer je ne sais pas si je le poste dans la bonne catégorie ...
 
J'ai déjà des problèmes de GPO qui ne s'applique plus ...
j'ai plusieurs GPO pour mon TSE , mon NAS+TSE , mes UO , les profilTSE ...
 
avant tout fonctionné correctement, mais depuis peu et je ne sais pas pourquoi car je n'ai absolument rien touché a la configuration , j'ai mes GPO TSE , profilTSE qui ne remonte pas ! sur ces GPO la , c est d'envoyer la configuration de SVN pour tout mes utilisateurs par exemple.
 
Mieux j'ai disparu du groupe Admin du domaine ! comment es-ce possible ?
 
merci d'avance pour vos lumières,
Bonne journée,
 
cordialement,
Gazz31

Reply

Marsh Posté le 01-10-2012 à 10:39:49   

Reply

Marsh Posté le 01-10-2012 à 15:14:22    

Bonjour à toi,
 
LA forêt de ton AD n'a-t-elle pas été rattachée à un autre contrôleur de domaine?
Je sais que lorsque j'avais rattaché la forêt de mon AD à un contrôleur de domaine supérieur (migration d'un domaine vers un autre => par exemple vdf.loc vers vlr.loc), j'avais perdu mes GPO et mon compte n'était plus "Admin de domaine" mais seulement "Admin local du domaine" avec beaucoup moins de droits....
 
Tes "symptômes" me font penser à ça. Mais je pense que si tu avais subit une migration d'AD, tu serais au courant... ;-)
 
PS: pas de mise à jour du serveur juste avant le dysfonctionnement?
 
Cordialement
 
Zacaoa

Reply

Marsh Posté le 01-10-2012 à 15:49:35    

Salut zacaoa,

 

Pas a ma connaissance, il n'y a pas eu de migration de AD vers un contrôleur de domaine supérieur.

 

mon domaine a toujours été lenomdemasociete.local, ensuite l'ancien admin réseau a rajouter dans l'AD -> domains controller , nos 2 TSE ( qui sont en équilibrage de charge) , nos TSE sont en 2008 R2 entreprise et je ne sais pas pourquoi et il me la jamais dit que les TSE sont dans le même panier que mon contrôleur principal et mon secondaire ... es-ce lié a ça ?

 

Jamais de mise a jour sur un serveur , sans avoir tester !

 

Merci de ta réponse


Message édité par gazz31 le 01-10-2012 à 15:52:43
Reply

Marsh Posté le 01-10-2012 à 17:18:16    

Pour la migration d'AD, je me doutais un peu de la réponse... cela aurait été gros ^_^
 
Je n'ai pas bien compris la deuxième partie de ta phrase, tes deux serveurs TSE sont dans le dossier Domains Controller de ton AD?
Sont-ce des contrôleurs de domaine?
 
Ton AD est un 2008 R2 je pense?
 
Cordialement

Reply

Marsh Posté le 01-10-2012 à 19:21:09    

Mon AD est un 2003 et dans ma foret dans l'UO Domains Controller il ya donc mon Domaine principal et mon secondaire et en plus il y a mes serveurs TSE 0_o ( je sais pas du tout ce que l'ancien admin réseau voulait faire )
 
Pourtant mes TSE ne sont pas des contrôleurs de domaine ! et mes TSE sont bien en 2008 R2 par contre.
 
demain je te fais une capture d'écran pour mieux voir la situation ;)

Reply

Marsh Posté le 01-10-2012 à 21:41:51    

voici la capture d'écran : http://image.noelshack.com/fichiers/2012/40/1349120452-ad.jpg
 
on voit bien mon DOMAINE en prio et mon serveur de sauvegarde en secours , mais je ne sais pas pourquoi mes TSE sont dans le même panier 0_o

Reply

Marsh Posté le 01-10-2012 à 23:10:30    

Il les a pas promu DC par hasard ? Tu as un service Active Directory sur tes TSE ?

Reply

Marsh Posté le 01-10-2012 à 23:11:28    

gazz31 a écrit :

Mon AD est un 2003 et dans ma foret dans l'UO Domains Controller il ya donc mon Domaine principal et mon secondaire et en plus il y a mes serveurs TSE 0_o ( je sais pas du tout ce que l'ancien admin réseau voulait faire )


 
donc mon Domaine principal et mon secondaire : les PDC et BDC n'exite plus depuis NT4 , il n'y a que des DC dont 1 dispose du Rôle FSMO émulateur PDC,
 
Le serveur TS sont dans l'ou Domain Controleur, ce n'est pas normal déplace les ailleurs;
Fait un dcdiag sur tout tes DC, et donne nous le résultat.
http://technet.microsoft.com/fr-fr [...] s.10).aspx
 
 
Fait un repadmin /showrepl pour voir l'état de ta réplication.
 
Je ne sais pas ce que l'ancien admin voulais faire, mais apparemment ses connaissances sur Active Directory sont très limitées.
http://technet.microsoft.com/fr-fr [...] s.10).aspx
 
Vérifie que chaque DC est bien en mesure de résoudre l'adresse ip des autres.  
 
 
Et puis regarde les messages dans l'observateur d'evenement
 
Fais un net share sur chaque dc et vérifie le contenu du dossier sysvol est bien identique.


Message édité par phil255 le 02-10-2012 à 07:30:58
Reply

Marsh Posté le 01-10-2012 à 23:21:58    

En effet, les deux serveurs TSE n'ont rien à faire dans l'OU "Domain Controllers", je crois que les GPO ne se répliquent pas sur les contrôleurs de domaine de souvenir...
 
Il faudrait les replacer dans l'OU "Computers" ou "Servers" si une OU "Servers" existe s'ils ne sont pas du tout Contrôleur de Domaine.
 
Cordialement

Reply

Marsh Posté le 01-10-2012 à 23:37:26    

zacaoa a écrit :

En effet, les deux serveurs TSE n'ont rien à faire dans l'OU "Domain Controllers", je crois que les GPO ne se répliquent pas sur les contrôleurs de domaine de souvenir...
 
Il faudrait les replacer dans l'OU "Computers" ou "Servers" si une OU "Servers" existe s'ils ne sont pas du tout Contrôleur de Domaine.
 
Cordialement


 je crois que les GPO ne se répliquent pas sur les contrôleurs de dom => Les GPO sont stockés dans le repertorie sysvol qui se replique par les services NTFRS. En générale on se crée une OU a part et on évite d'utiliser Computer.
 
Mais il faut surtout faire un dcdiag; repadmin etc pour voir dans quel état sont les contrôleurs de domaines.
 

Reply

Marsh Posté le 01-10-2012 à 23:37:26   

Reply

Marsh Posté le 01-10-2012 à 23:39:56    

Vérifie sur les serveurs TS si un dcpromo a été fait dessus, si les consoles utilisateur et ordinateurs existent, dns etc ...
. Mais normalement un serveur TS ne peut être DC.


Message édité par phil255 le 03-10-2012 à 23:26:18
Reply

Marsh Posté le 02-10-2012 à 10:57:24    

Bonjour,
 
alors j'ai fais un DCdiag /a sur mon domaine principal ( il a scanner tout mes contrôleurs de domaine ( le Domaine + le Sauvegarde )
 
je vous joins le log ( je n'est pas remarqué d’échec mise a part sur le systemlog mais je pense que c est pas important vis a vis de mes problèmes GPO ...
 
http://pastebin.com/hjwkXRrN
 
je n'arrive pas a utiliser la commande "Repadmin" ... je sais pas comment m'y prendre
 
Il n'y a pas de DC sur les serveurs TSE je viens de vérifié :
 
http://image.noelshack.com/fichiers/2012/40/1349168032-tse1.jpg
 
Dans ce cas je dois mettre mes serveurs TSE dans la même UO que mon groupe de sécurité ou tous mes utilisateurs du TSE sont répertorié ?
http://image.noelshack.com/fichiers/2012/40/1349168197-ad.jpg
 
Merci d'avance pour vos aides.

Reply

Marsh Posté le 02-10-2012 à 16:45:05    

c est vraiment le chantier dans mon AD ... ça craint
 
je crois que les GPO des serveurs TSE sont annulé par une autre ...
 
Comment faire pour que les GPO dédiée pour les TSE puissent être appliquer sans faire parasite avec une GPO pour les utilisateurs de mon domaine ?
 
PS : je crois que il y a qu'une GPO qui fonctionne ... la GPO qui est appliqué pour les users de mon domaine , les autres ne fonctionnent pas ....  :cry:

Message cité 1 fois
Message édité par gazz31 le 02-10-2012 à 16:59:42
Reply

Marsh Posté le 02-10-2012 à 18:09:16    

gazz31 a écrit :

Bonjour,
 
je n'arrive pas a utiliser la commande "Repadmin" ... je sais pas comment m'y prendre
 
 
Dans ce cas je dois mettre mes serveurs TSE dans la même UO que mon groupe de sécurité ou tous mes utilisateurs du TSE sont répertorié ?
 


 
1 - Quel soucis avec repadmin ? tu n'as pas l'exe ? un message d'erreur ?
 
2 - LE choix de l'ou n'a rien a voir avec les groupes AD, le groupe pour faire du filtrage sur une GPO, mais rien n'oblige a avoir le groupe dans la même OU. Dans la majorité des cas il n'est pas utile de faire du filtrage. Pour quel raison as tu fait du filtrage ?
 
Ce qui est important c'est de choisir ces OU en fonction de sa gestion :
- déléguation de permission sur une OU (par exemple tu veux qu'un responsable achats puisse faire un reset de mot de passe des personnes de son équipe, tu peux mettre l'équipe dans une OU et déléguer le droit de réinitialiser le mot de passe au responsable, sans qu'il puisse faire autre chose, mais bon c'est rare)
- la gestion des stratégie de groupes.
 
A noter que si tu n'as pas installé la console gpmc sur ton serveur, c'est un peu galère à gérer et analiser les GPO.

Reply

Marsh Posté le 02-10-2012 à 18:10:34    

gazz31 a écrit :

c est vraiment le chantier dans mon AD ... ça craint
 
je crois que les GPO des serveurs TSE sont annulé par une autre ...
 
Comment faire pour que les GPO dédiée pour les TSE puissent être appliquer sans faire parasite avec une GPO pour les utilisateurs de mon domaine ?
 
PS : je crois que il y a qu'une GPO qui fonctionne ... la GPO qui est appliqué pour les users de mon domaine , les autres ne fonctionnent pas ....  :cry:


 
Avec la console GPMC tu as l'assistant de modélisation ou de résultat (équivalent Gpresult) qui te permets de comprendre ce qui est vraiment appliqué.
 

Reply

Marsh Posté le 02-10-2012 à 19:08:44    

Y a pas que ton AD qui a des soucis, parce que cumuler Hyper-V, IIS, RDS, fichiers et NAP :/

Reply

Marsh Posté le 03-10-2012 à 10:27:46    

phil255 a écrit :


 
1 - Quel soucis avec repadmin ? tu n'as pas l'exe ? un message d'erreur ?
 
2 - LE choix de l'ou n'a rien a voir avec les groupes AD, le groupe pour faire du filtrage sur une GPO, mais rien n'oblige a avoir le groupe dans la même OU. Dans la majorité des cas il n'est pas utile de faire du filtrage. Pour quel raison as tu fait du filtrage ?
 
Ce qui est important c'est de choisir ces OU en fonction de sa gestion :
- déléguation de permission sur une OU (par exemple tu veux qu'un responsable achats puisse faire un reset de mot de passe des personnes de son équipe, tu peux mettre l'équipe dans une OU et déléguer le droit de réinitialiser le mot de passe au responsable, sans qu'il puisse faire autre chose, mais bon c'est rare)
- la gestion des stratégie de groupes.
 
A noter que si tu n'as pas installé la console gpmc sur ton serveur, c'est un peu galère à gérer et analiser les GPO.


 
1 - Le Soucis avec repadmin est que les sous commandes que j'utilise n'ont pas l'air de fonctionner ou alors c est moi qui m'y prend comme un pied, puis je n'arrive pas a trouvé la valeur de "nomdsa" ( c est la première fois que j'utilise Repadmin ) ( oui j'ai l'exe )
 
2 - je ne sais pas du tout c 'est pas moi qui est mis en service ce AD, j'ai rien reçu en formation venant de l'ancien admin ... ( il a fait du filtrage oui pourquoi ? ? ? c est la bonne question peut-être pour appliquer la GPO a qu'un seul groupe ? )
 
je vais tenter de résumer un peu ce que je veux réaliser :
 
Dans la société il y a deux entités on va les appeler A et B :
 
A possède des utilisateurs de base , un OU est crée dans l'AD avec les utilisateurs inscrit + un groupe de sécurité ou tout les utilisateurs de l'entité A sont dedans ( pour facilité les droits sur les dossiers de partages )
la GPO mise en place est que ces utilisateurs la n'ont pas le droit d'installer de programme ( *.exe / *.msi ) et quelques autres interdiction. ( facile )
 
B possède des utilisateurs confirmer ( ils sont développeurs ) , un OU est crée dans l'AD avec les utilisateurs inscrit également + un groupe de sécu comme l'entité A , mais cependant ils ont besoin de plus de chose :
L'entité B se connecte sur nos TSE ( équilibrage de charge ) pour travailler ( Application métier ) , des GPO sont donc crée pour facilité la configuration des sessions TSE ( ProfiTSE, config de SVN prédéfini, thème Windows classique, montage de plusieurs lecteurs réseaux ... )
Il y a donc un OU "Serveur TSE" pour justement attribuer ce que l'on veut uniquement pour les serveurs TSE.
 
Nous avons un NAS pour les fichiers sensible ( lecteurs réseaux )  
 
Voici ce qui est en place actuellement :
Pour l'entité A tout va bien , c est pas eux le problème.
 
Pour l'entité B accrochez-vous il yen a de partout :
 
UO = "B"  
http://image.noelshack.com/fichiers/2012/40/1349251652-gpo-b.jpg
 
Filtrage de sécurité pour B :
http://image.noelshack.com/fichiers/2012/40/1349252557-filtrage-de-secu-pour-b.jpg
 
UO = "Serveurs TSE"
ou il ya rien même pas une GPO ... même pas un filtrage ... je me demande a quoi elle sert
 
UO = "Serveurs TSE+NAS"
http://image.noelshack.com/fichiers/2012/40/1349251778-gpo-b-tse-nas.jpg
 
Filtrage de sécurité pour "Serveurs TSE+NAS"
http://image.noelshack.com/fichiers/2012/40/1349252943-filtrage-de-secu-pour-b-ou-serveur-tse-nas.jpg
 
voila ce qui il y a en place
 
vision global de la GPMC :
http://image.noelshack.com/fichiers/2012/40/1349253400-vision-global.jpg

Message cité 1 fois
Message édité par gazz31 le 03-10-2012 à 10:37:10
Reply

Marsh Posté le 03-10-2012 à 19:56:21    

gazz31 a écrit :


 
1 - Le Soucis avec repadmin est que les sous commandes que j'utilise n'ont pas l'air de fonctionner ou alors c est moi qui m'y prend comme un pied, puis je n'arrive pas a trouvé la valeur de "nomdsa" ( c est la première fois que j'utilise Repadmin ) ( oui j'ai l'exe )
 
2 - je ne sais pas du tout c 'est pas moi qui est mis en service ce AD, j'ai rien reçu en formation venant de l'ancien admin ... ( il a fait du filtrage oui pourquoi ? ? ? c est la bonne question peut-être pour appliquer la GPO a qu'un seul groupe ? )
 
je vais tenter de résumer un peu ce que je veux réaliser :
 
Dans la société il y a deux entités on va les appeler A et B :
 
A possède des utilisateurs de base , un OU est crée dans l'AD avec les utilisateurs inscrit + un groupe de sécurité ou tout les utilisateurs de l'entité A sont dedans ( pour facilité les droits sur les dossiers de partages )
la GPO mise en place est que ces utilisateurs la n'ont pas le droit d'installer de programme ( *.exe / *.msi ) et quelques autres interdiction. ( facile )
 
B possède des utilisateurs confirmer ( ils sont développeurs ) , un OU est crée dans l'AD avec les utilisateurs inscrit également + un groupe de sécu comme l'entité A , mais cependant ils ont besoin de plus de chose :
L'entité B se connecte sur nos TSE ( équilibrage de charge ) pour travailler ( Application métier ) , des GPO sont donc crée pour facilité la configuration des sessions TSE ( ProfiTSE, config de SVN prédéfini, thème Windows classique, montage de plusieurs lecteurs réseaux ... )
Il y a donc un OU "Serveur TSE" pour justement attribuer ce que l'on veut uniquement pour les serveurs TSE.
 
Nous avons un NAS pour les fichiers sensible ( lecteurs réseaux )  
 
Voici ce qui est en place actuellement :
Pour l'entité A tout va bien , c est pas eux le problème.
 
Pour l'entité B accrochez-vous il yen a de partout :
 
UO = "B"  
http://image.noelshack.com/fichier [...] -gpo-b.jpg
 
Filtrage de sécurité pour B :
http://image.noelshack.com/fichier [...] pour-b.jpg
 
UO = "Serveurs TSE"
ou il ya rien même pas une GPO ... même pas un filtrage ... je me demande a quoi elle sert
 
UO = "Serveurs TSE+NAS"
http://image.noelshack.com/fichier [...] se-nas.jpg
 
Filtrage de sécurité pour "Serveurs TSE+NAS"
http://image.noelshack.com/fichier [...] se-nas.jpg
 
voila ce qui il y a en place
 
vision global de la GPMC :
http://image.noelshack.com/fichier [...] global.jpg


 
 
 
 
1 - tu as esssayé de faire juste repadmin /showrepl comme indiqué ci dessus directement sur chaque DC,
 
2 - Si c'est l'ancien informaticien qui t'as formé sur l'AD, et à lire les éléments ci dessus, je pense qu'il y a du taf sans vouloir te vexer.
 
J'ai pas tout compris sur tes objectifs.
 
Mais une des vues et d'avoir une OU utilisateur A , une OU utilisateur B, une OU serveur TS , une ou poste de travail A et une poste de travail B
 
Si tes paramètres de GPO sont des paramètres utilisateurs tu l'affecte à l'ou des utilisateurs concerné,
Si tes paramètres de GPO concerne les param postes tu fais la GPO sur l'iou postes concernés
Si tes paramètres concernent les param machines des serveurs TS tu fais sur l'OU TS
 
Jusque la c'est super simple et pas besoin de filtrage.
 
Si tes paramètres concernents les param users mais que pour les serveurs ts qui ne contient pas d'utilisateur, tu fais une GPO avec traitement par boucle de rappel et tu n'as toujours pas besoin de faire du filtrage.
 
Après a voir si tes params deviennent plus spécifiques s'il est préférable d'utiliser des sous OU ou du filtrage.
 
Maintenant par défaut je fais moi en générale plusieurs GPO par thème plutôt qu'une fourre tout du nom de l'ou ou de l'objet, par exemple j'ai sur mon réseau une GPO qui s'appelle W7-Config-PareFeu-STD
En ayant des GPO par fonction si je dois désactiver un thème je ne suis pas obligé de le faire.
 
Après lu peux utiliser l'assistant résultat de la console GPMC pour voir les GPO appliqués sur un poste  ou pour un utilisateur.
 
 

Reply

Marsh Posté le 04-10-2012 à 09:54:32    

phil255 a écrit :


 
 
 
 
1 - tu as esssayé de faire juste repadmin /showrepl comme indiqué ci dessus directement sur chaque DC,
 
2 - Si c'est l'ancien informaticien qui t'as formé sur l'AD, et à lire les éléments ci dessus, je pense qu'il y a du taf sans vouloir te vexer.
 
J'ai pas tout compris sur tes objectifs.
 
Mais une des vues et d'avoir une OU utilisateur A , une OU utilisateur B, une OU serveur TS , une ou poste de travail A et une poste de travail B
 
Si tes paramètres de GPO sont des paramètres utilisateurs tu l'affecte à l'ou des utilisateurs concerné,
Si tes paramètres de GPO concerne les param postes tu fais la GPO sur l'iou postes concernés
Si tes paramètres concernent les param machines des serveurs TS tu fais sur l'OU TS
 
Jusque la c'est super simple et pas besoin de filtrage.
 
Si tes paramètres concernents les param users mais que pour les serveurs ts qui ne contient pas d'utilisateur, tu fais une GPO avec traitement par boucle de rappel et tu n'as toujours pas besoin de faire du filtrage.
 
Après a voir si tes params deviennent plus spécifiques s'il est préférable d'utiliser des sous OU ou du filtrage.
 
Maintenant par défaut je fais moi en générale plusieurs GPO par thème plutôt qu'une fourre tout du nom de l'ou ou de l'objet, par exemple j'ai sur mon réseau une GPO qui s'appelle W7-Config-PareFeu-STD
En ayant des GPO par fonction si je dois désactiver un thème je ne suis pas obligé de le faire.
 
Après lu peux utiliser l'assistant résultat de la console GPMC pour voir les GPO appliqués sur un poste  ou pour un utilisateur.
 
 


 
1 - le repadmin /showrepl donne ça :  
 
Pour mon domaine principal : http://pastebin.com/e81QFdqc
Pour mon domaine de secours : http://pastebin.com/nxMEMhGP
 
 
2 - Non justement l'ancien informaticien ne m'a même pas passé les billes !!! il devait mais " il a pas eu le temps " et je sais qu'il y a du taff , mais j'abandonne jamais en cours de route
Hier j'ai retiré mes deux TSE qui était dans l'UO Domaines contollers , mais surprise quand la stratégie s'est mise en place , je ne pouvais plus me connecté avec mon compte du domaine car le serveur de domaine ne reconnaissait plus mes TSE ....  :bounce:  
 
donc j'ai du le retiré du domaine pour le réintégré ... c est peut - être pas la bonne solution mais pour éviter que les salariés se tournent les pouces il fallait le faire.
De plus mon cluster est tombé aussi ! il faut que je le recréer mais il faut d'abord que mon TSE2 soit reconnu par mon domaine ! ( quel histoire !  :sweat:  )
 
Bref j'ai passé une soirée pas terrible  :cry:  
 
Ouais le mieux est de faire des OU par classe d'utilisateurs et par poste de travail et par serveurs (ordinateurs compris ? ) ( genre dans l'OU serveurs je mes les "ordinateurs serveur" + " les utilisateurs" qui sont susceptible de s'y connecter ?
 
 

Reply

Marsh Posté le 04-10-2012 à 10:10:57    

Là j'ai l'impression que l'ancien admin a fait un peu n'importe quoi, et que toi tu continues et que tu es en train de péter ta prod.
 
Si tu n'as aucune connaissance en AD le mieux est de faire appel à un prestataire externe, pour qu'il remette ton infra en état, d'après les infos que tu as donné il y a beaucoup de travail, trop pour donner une solution complète via un forum.

Reply

Marsh Posté le 04-10-2012 à 10:44:47    

c'est bien ce que je pensé , merci de ta réponse en tout cas
 
j'ai la notion de base pour un AD , j'ai aussi la vision de ce que je veux mettre en pratique mais il faut d'abord que je sache comment fonctionne les GPO dans tout les sens du termes.

Reply

Marsh Posté le 04-10-2012 à 11:24:32    

gazz31 a écrit :

c'est bien ce que je pensé , merci de ta réponse en tout cas
 
j'ai la notion de base pour un AD , j'ai aussi la vision de ce que je veux mettre en pratique mais il faut d'abord que je sache comment fonctionne les GPO dans tout les sens du termes.


 
En plus des remarques de nebulios, quand tu rencontre un problème donne le message d'erreur précis, plutôt que de dire ca ne marche pas.
Par ce que la on doit deviner le texte du message d'erreur.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed