none
Active Directory au comportement etrange RRS feed

  • Question

  • Bonjour,

    Je reprends l'administration d'un SI d'une centaine d'ordinateurs environ, or je m’aperçois que l'Active Directory est réagi de manière étrange, notamment sur l'application des GPO. 

    Cet AD date d'il y a plus de 15 ans, et n'a jamais fait l'objet de maintenance....

    Première solution :

    Casser tout et remonter une AD propre -> impossible car je n'ai pas les ressources nécessaire pour réintégrer tous les postes sur une nouvelle infra. 

    Deuxième solution : 

    Réparer l'AD pour remettre une configuration "par défaut" 

    Ma question est donc la suivante : 

    Existe t-il un outil ou une méthode pour mettre en oeuvre la deuxième solution, soit la remise par défaut des paramètres de l'AD, sans supprimer les utilisateurs et computers déjà présents ?

    Merci par avance ! 

    Configuration :

    DC1 -> Windows 2012 R2 STANDARD (Update1)



    • Modifié BLONDIN31 mercredi 3 août 2016 14:18
    mercredi 3 août 2016 14:15

Réponses

  • Attention au filtrage de sécurité sur les groupes d'utilisateurs depuis la mise à jour de juin. Si une partie des postes sont à jours les autres non, il peut y avoir des différences. En effet depuis le mois de juin l'accès aux gpo se fait avec le contexte ordinateur même pour les GPO utilisateurs. Ce qui veut dire que si tu fais du filtrage sur des groupes d'utilisateurs il faut rajouté dans le filtrage de sécurité le groupe "ordinateur du domaine". Si tu ne veux pas faire de filtrage on peut utiliser le groupe par défaut (utilisateurs authentifiés) qui contient Utilisateur et Ordinateurs.

    Autre point lorsque tu modifie une stratégie de groupe elle est recopié donc un peu plus long. Si tu fais une GPO avec un script et que tu modifie juste le script, l'ordinateur n'applique pas forcément de suite la modification.

    Enfin certain paramètre machines ne seront appliqués qu'au redémarrage du poste et certain paramètre utilisateur à la prochaine ouverture de session.

    Selon les paramètres de ta GPo il peut y avoir différente explication...


    • Marqué comme réponse BLONDIN31 mercredi 10 août 2016 14:07
    jeudi 4 août 2016 16:36
    Modérateur

Toutes les réponses

  • Quel type de problème rencontrez-vous ?

    Combien de contrôleur de domaine ?

    ouvrez une invite de commande en mode administrateur et exécutez un Dcdiag et recherchez les erreurs.

    Si l'AD n'a pas d'erreur et n'est pas corrompu un peu de rangement et de nettoyage peut être suffisant.

    Si vous souhaitez refaire un AD le plus simple et de réinstaller entièrement le serveur. Attention néanmoins l'identicateur qui gère les permissions sur les dossiers et autre est le SID. Si vous réinstaller le SID du domaine, des utilisateurs et des ordinateurs changent, il faut donc tout refaire.

    mercredi 3 août 2016 19:53
    Modérateur
  • Bonjour,

    En effet, ca ne veut pas dire grand chose réparer l'AD.

    Il faut déjà savoir quel est le résultat de la commande dcdiag dans une invite de commande en mode administrateur stp ?

    Ensuite, est ce que tu rencontres des problèmes particuliers ?

    Tu as un niveau fonctionnel de foret / domaine a quel niveau ?

    Bref, pour t'aider, il nous faut savoir quels symptômes tu rencontres

    jeudi 4 août 2016 15:39
  • Pour info, je suis administrateur système depuis 15 ans !

    En effet, il faudrait pour bien faire, tout casser et remonter, j'ai déjà fait ça des dizaines de fois, mais, en l’occurrence pour cette infra, c'est quasiment impossible !!! 

    Je fait les test et je reviens ici. 

    Merci ! 

    jeudi 4 août 2016 15:44
  • C:\Users\Administrateur.nvs>dcdiag

    Diagnostic du serveur d'annuaire

    Exécution de l'installation initiale :
       Tentative de recherche de serveur associé...
       Serveur associé : SRV00
       * Forêt AD identifiée.
       Collecte des informations initiales terminée.

    Exécution des tests initiaux nécessaires

       Test du serveur : Default-First-Site-Name\SRV00
          Démarrage du test : Connectivity
             ......................... Le test Connectivity
              de SRV00 a réussi

    Exécution des tests principaux

       Test du serveur : Default-First-Site-Name\SRV00
          Démarrage du test : Advertising
             ......................... Le test Advertising
              de SRV00 a réussi
          Démarrage du test : FrsEvent
             ......................... Le test FrsEvent
              de SRV00 a réussi
          Démarrage du test : DFSREvent
             ......................... Le test DFSREvent
              de SRV00 a réussi
          Démarrage du test : SysVolCheck
             ......................... Le test SysVolCheck
              de SRV00 a réussi
          Démarrage du test : KccEvent
             ......................... Le test KccEvent
              de SRV00 a réussi
          Démarrage du test : KnowsOfRoleHolders
             ......................... Le test KnowsOfRoleHolders
              de SRV00 a réussi
          Démarrage du test : MachineAccount
             ......................... Le test MachineAccount
              de SRV00 a réussi
          Démarrage du test : NCSecDesc
             ......................... Le test NCSecDesc
              de SRV00 a réussi
          Démarrage du test : NetLogons
             ......................... Le test NetLogons
              de SRV00 a réussi
          Démarrage du test : ObjectsReplicated
             ......................... Le test ObjectsReplicated
              de SRV00 a réussi
          Démarrage du test : Replications
             ......................... Le test Replications
              de SRV00 a réussi
          Démarrage du test : RidManager
             ......................... Le test RidManager
              de SRV00 a réussi
          Démarrage du test : Services
             ......................... Le test Services
              de SRV00 a réussi
          Démarrage du test : SystemLog
             ......................... Le test SystemLog
              de SRV00 a réussi
          Démarrage du test : VerifyReferences
             ......................... Le test VerifyReferences
              de SRV00 a réussi


       Exécution de tests de partitions sur ForestDnsZones
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de ForestDnsZones a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de ForestDnsZones a réussi

       Exécution de tests de partitions sur DomainDnsZones
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de DomainDnsZones a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de DomainDnsZones a réussi

       Exécution de tests de partitions sur Schema
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de Schema a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de Schema a réussi

       Exécution de tests de partitions sur Configuration
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de Configuration a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de Configuration a réussi

       Exécution de tests de partitions sur nvs
          Démarrage du test : CheckSDRefDom
             ......................... Le test CheckSDRefDom
              de nvs a réussi
          Démarrage du test : CrossRefValidation
             ......................... Le test CrossRefValidation
              de nvs a réussi

       Exécution de tests d'entreprise sur nvs.local
          Démarrage du test : LocatorCheck
             ......................... Le test LocatorCheck
              de nvs.local a réussi
          Démarrage du test : Intersite
             ......................... Le test Intersite
              de nvs.local a réussi
    jeudi 4 août 2016 15:50
  • Hello,

    Bon, les test DCDIAG sont tous OK...

    Concernant les problèmes : c'est surtout au niveau des GPO, lors de l'intégration au domaine,parfois elles s'appliquent parfois non... obligé de lancer un GPUPDATE /FORCE et de redémarrer. 

    Lorsque je fais un GPRESULT, parfois le temps d’exécution est très long (+d'une minute) parfois instantané. A savoir que j'ai fais les test sur des machines neuves, avec SSD. 

    Toujours sur les GPO, les groupes de filtrage ne fonctionnent pas. 

    :'-(

    jeudi 4 août 2016 16:07
  • Niveau fonctionnel WINDOWS 2012 R2

    J'ai deux DC : SRV00 avec les rôles FSMO et SRV01 

    jeudi 4 août 2016 16:08
  • Pour info, je suis administrateur système depuis 15 ans !

    En effet, il faudrait pour bien faire, tout casser et remonter, j'ai déjà fait ça des dizaines de fois, mais, en l’occurrence pour cette infra, c'est quasiment impossible !!! 

    Je fait les test et je reviens ici. 

    Merci ! 

    Bonjour,

    A mon avis même s'il s'agit d'un DC qui date depuis 15 sans maintenance , on peut garder le domaine en mettant à jour les controlleurs de domaines cela vous permet de garder les même comptes AD et les droits déjà configurés puisque chaque object va garder le même SID.

    Pouvez vous nous donner plus des détails à propos:

    • La version du système d'exploitation de chanque controleur de domaine
    • le niveau fonctionnel du domaine
    • le niveau fonctionnel du forêt

    jeudi 4 août 2016 16:28
    Modérateur
  • Hello,

    Bon, les test DCDIAG sont tous OK...

    Concernant les problèmes : c'est surtout au niveau des GPO, lors de l'intégration au domaine,parfois elles s'appliquent parfois non... obligé de lancer un GPUPDATE /FORCE et de redémarrer. 

    Lorsque je fais un GPRESULT, parfois le temps d’exécution est très long (+d'une minute) parfois instantané. A savoir que j'ai fais les test sur des machines neuves, avec SSD. 

    Toujours sur les GPO, les groupes de filtrage ne fonctionnent pas. 

    :'-(

    Est ce que vous avez des erreurs au niveau de replication Sysvol?

    Sous Windows 2012 R2 est possible de vérifier  via la console Group Policy management s'il y a des erreur de réplication GPO.

    jeudi 4 août 2016 16:35
    Modérateur
  • Attention au filtrage de sécurité sur les groupes d'utilisateurs depuis la mise à jour de juin. Si une partie des postes sont à jours les autres non, il peut y avoir des différences. En effet depuis le mois de juin l'accès aux gpo se fait avec le contexte ordinateur même pour les GPO utilisateurs. Ce qui veut dire que si tu fais du filtrage sur des groupes d'utilisateurs il faut rajouté dans le filtrage de sécurité le groupe "ordinateur du domaine". Si tu ne veux pas faire de filtrage on peut utiliser le groupe par défaut (utilisateurs authentifiés) qui contient Utilisateur et Ordinateurs.

    Autre point lorsque tu modifie une stratégie de groupe elle est recopié donc un peu plus long. Si tu fais une GPO avec un script et que tu modifie juste le script, l'ordinateur n'applique pas forcément de suite la modification.

    Enfin certain paramètre machines ne seront appliqués qu'au redémarrage du poste et certain paramètre utilisateur à la prochaine ouverture de session.

    Selon les paramètres de ta GPo il peut y avoir différente explication...


    • Marqué comme réponse BLONDIN31 mercredi 10 août 2016 14:07
    jeudi 4 août 2016 16:36
    Modérateur

  • Bonjour,

    A mon avis même s'il s'agit d'un DC qui date depuis 15 sans maintenance , on peut garder le domaine en mettant à jour les controlleurs de domaines cela vous permet de garder les même comptes AD et les droits déjà configurés puisque chaque object va garder le même SID.

    Pouvez vous nous donner plus des détails à propos:

    • La version du système d'exploitation de chanque controleur de domaine
    • le niveau fonctionnel du domaine
    • le niveau fonctionnel du forêt

    En fait, je ne sais pas depuis quand cet AD date exactement... 

    La version du système d'exploitation de chaque contrôleur de domaine :

    DC1 (SRV00 rôles FSMO) : Windows 2012 R2 STD

    DC2 (SRV01) :  Windows 2012 R2 STD

    Niveau fonctionnel du domaine + foret :

    WINDOWS 2012 R2

    jeudi 4 août 2016 16:37
  • Attention au filtrage de sécurité sur les groupes d'utilisateurs depuis la mise à jour de juin. Si une partie des postes sont à jours les autres non, il peut y avoir des différences. En effet depuis le mois de juin l'accès aux gpo se fait avec le contexte ordinateur même pour les GPO utilisateurs. Ce qui veut dire que si tu fais du filtrage sur des groupes d'utilisateurs il faut rajouté dans le filtrage de sécurité le groupe "ordinateur du domaine". Si tu ne veux pas faire de filtrage on peut utiliser le groupe par défaut (utilisateurs authentifiés) qui contient Utilisateur et Ordinateurs.

    Autre point lorsque tu modifie une stratégie de groupe elle est recopié donc un peu plus long. Si tu fais une GPO avec un script et que tu modifie juste le script, l'ordinateur n'applique pas forcément de suite la modification.

    Enfin certain paramètre machines ne seront appliqués qu'au redémarrage du poste et certain paramètre utilisateur à la prochaine ouverture de session.

    Selon les paramètres de ta GPo il peut y avoir différente explication...


    Merci pour cette info concernant le filtrage !!! je ne savais pas qu'il fallait rajouter "ordinateur du domaine" (pas très logique!!)

    Pour le reste je savais :-) 

    jeudi 4 août 2016 16:41

  • Est ce que vous avez des erreurs au niveau de replication Sysvol?

    Sous Windows 2012 R2 est possible de vérifier  via la console Group Policy management s'il y a des erreur de réplication GPO.

    Je regarderais ça demain matin, mais je pense qu'il n'y a aucun PB à ce niveau.

    Merci pour votre aide ! 

    jeudi 4 août 2016 16:44
  • C'est seulement depuis la mise à jour de juin pour palier à une faille de sécurité :

    https://technet.microsoft.com/library/security/MS16-072

    jeudi 4 août 2016 16:52
    Modérateur

  • Est ce que vous avez des erreurs au niveau de replication Sysvol?

    Sous Windows 2012 R2 est possible de vérifier  via la console Group Policy management s'il y a des erreur de réplication GPO.

    Je regarderais ça demain matin, mais je pense qu'il n'y a aucun PB à ce niveau.

    Merci pour votre aide ! 

    Pour le problème de filtrage commme expliqué par Philippe:

    • Ajouter le droit de lecture pour Utilisateurs authentifiés sur les GPO sans filtre
    • Ajouter le droit de lecture pour le groupe Ordinateurs du domaine sur les GPO avec filtre

    Pour avoir plus des détails sur ce bug veuillez consulter ce kb:

    MS16-072 : Mise à jour de sécurité pour la stratégie de groupe 14 juin 2016

    jeudi 4 août 2016 16:53
    Modérateur
  • en générale les erreurs de réplications sysvol apparaissent dans le DCdiag.

    Vous avez fait le dcdiag sur les 2 DCs ?

    Si le domaine a été crée avec un niveau de domaine inférieur à 2008 il utilise l'ancienne réplication avec NTFRS, ce qui a l'air d'être le cas. Il est possible d'utiliser la réplication DFS-R plus récente voir : http://pbarth.fr/node/75

    Si vous n'avez pas encore migré vers DFS-R(ce n'est pas une obligation) il suffit de redémarrer le service ntfrs sur le serveur et de vérifier les entrées du journal

    Il est également recommandé de vérifier la réplication de l'annuaire avec repadmin /replsummary ou repadmin /showrepl ...

    jeudi 4 août 2016 17:02
    Modérateur
  • Attention au filtrage de sécurité sur les groupes d'utilisateurs depuis la mise à jour de juin. Si une partie des postes sont à jours les autres non, il peut y avoir des différences. En effet depuis le mois de juin l'accès aux gpo se fait avec le contexte ordinateur même pour les GPO utilisateurs. Ce qui veut dire que si tu fais du filtrage sur des groupes d'utilisateurs il faut rajouté dans le filtrage de sécurité le groupe "ordinateur du domaine". Si tu ne veux pas faire de filtrage on peut utiliser le groupe par défaut (utilisateurs authentifiés) qui contient Utilisateur et Ordinateurs.

    Autre point lorsque tu modifie une stratégie de groupe elle est recopié donc un peu plus long. Si tu fais une GPO avec un script et que tu modifie juste le script, l'ordinateur n'applique pas forcément de suite la modification.

    Enfin certain paramètre machines ne seront appliqués qu'au redémarrage du poste et certain paramètre utilisateur à la prochaine ouverture de session.

    Selon les paramètres de ta GPo il peut y avoir différente explication...



    Un grand merci pour cette info , elle m'a été forte utile.
    mercredi 10 août 2016 14:50