none
Réplication unidirectionnelle via AD LDS pour authentification d'une application en DMZ

    Question

  • Bonjour,

    [Environnement 2008]

    Problématique: Permettre l'usage d'une application située en DMZ avec authentification AD (nécessaire pour l'usage de l'application)

    Solution envisagée: AD LDS (ADAM sous 2003) ou MIIS
    question1: quel est le meilleur déploiement possible? Domaine Alpha --> Firewall --> Serveur + AD LDS + application ?
    question2: est il possible de ne faire que pousser la réplication de façon à ne l'avoir qu'unidirectionnelle? Un peu comme un serveur EDGE fonctionne avec Exchange?

    Merci de vos retours
    mercredi 2 septembre 2009 09:44

Réponses

  • Bonjour,

    ·         Après ces commandes :

    ldifde -i -u -f SchemaChanges.ldf -s server:port -b username domain password -j

    . -c "cn=Configuration,dc=X" #configurationNamingContext

    ou

     

     

    >ldifde -i -u -f SchemaChanges.ldf -s localhost:389 -c "cn=Conf

    iguration,dc=X" #configurationNamingContext

    Connecting to "localhost:389"

    Logging in as current user using SSPI

    Importing directory from file "SchemaChanges.ldf"

    Loading entries.................................................................

    ................................................................................

    ...........

    …x entries modified successfully.

    The command has completed successfully

    ·         J’ai utilisé AdamsyncMetadata.ldf :

    C:\WINDOWS\ADAM>ldifde -i -f MS-AdamSyncMetadata.LDF -s localhost:389 -c

    "cn=Cofiguration,dc=X" #configurationNamingContext

    Connecting to "localhost:389"

    Logging in as current user using SSPI

    Importing directory from file "MS-AdamSyncMetadata.LDF"

     

    ·         Ensuite, j’ai créé le fichier de configuration c:\WINDOWS\ADAM folder – Ms-AdamsyncConf.XML que j’ai édité:

    <?xml version="1.0"?>

    <doc>

    <configuration>

    <description>config file for app1</description>

    <security-mode>object</security-mode>

    <source-ad-name>domainname.com</source-ad-name>

    <source-ad-partition>dc=domainname,dc=com</source-ad-partition>

    <source-ad-account></source-ad-account>

    <account-domain></account-domain>

    <target-dn>dc=app1</target-dn>

    <query>

    <base-dn>ou=employees,dc=domainname,dc=com</base-dn>

    <object-filter>(objectCategory=*)</object-filter>

    <attributes>

    <include></include>

    <exclude>extensionName</exclude>

    <exclude>flags</exclude>

    <exclude>isPrivelegeHolder</exclude>

    <exclude>msCom-UserLink</exclude>

    <exclude>msCom-PartitionSetLink</exclude>

    .........
    </attributes>

    </query>

    <schedule>

    <aging>

    <frequency>0</frequency>

    <num-objects>0</num-objects>

    </aging>

    <schtasks-cmd></schtasks-cmd>

    </schedule>

    </configuration>

    <synchronizer-state>

    <dirsync-cookie></dirsync-cookie>

    <status></status>

    <authoritative-adam-instance></authoritative-adam-instance>

    <configuration-file-guid></configuration-file-guid>

    <last-sync-attempt-time></last-sync-attempt-time>

    <last-sync-success-time></last-sync-success-time>

    <last-sync-error-time></last-sync-error-time>

    <last-sync-error-string></last-sync-error-string>

    <consecutive-sync-failures></consecutive-sync-failures>

    <user-credentials></user-credentials>

    <runs-since-last-object-update></runs-since-last-object-update>

    <runs-since-last-full-sync></runs-since-last-full-sync>

    </synchronizer-state>

    </doc>

    ·         J’ai installé le fichier de  configuration:

    C:\WINDOWS\ADAM>adamsync /i localhost:389 app1.XML /log –

    Si je veux voir le fichier de configuration: C:\WINDOWS\ADAM>adamsync /l localhost:389

    Ou bien l’état :

    adamsync /cs localhost:389 /log –

    ou bien

    adamsync /sync localhost:389 dc=app1 /ldifin ldif.txt /log c:\logs\synclog.txt

    J’ai pris les objets de DC  (dirsync/LDAP query) :

    baseDN (string) e.g dc=domainname,dc=com

    filter (string) e.g. (objectClass = *)

    Scope (Base, onelevel,subtree)

    attributes (vector)

    controls (LDAPControl which consists of IOD etc)

    Flags (dword)

     

    Plus sur Dirsync : http://msdn.microsoft.com/en-us/library/aa366978(VS.85).aspx et sur LDAP : http://msdn.microsoft.com/en-us/library/aa366123(VS.85).aspx

    Apres avoir établi ce que je veux synchroniser ou non, si je crée quelque chose d’autre dans mon AD je peux exécuter :

    adamsync /sync localhost:389 dc=app1 /log c:\logs\synclog4.txt

    Ensuite je compare mes objets AD avec ce que j’ai syncronisé avec adamsync.

     

     

    Pour l’erreur listée dans ton log : « Error: DCLocator call failed with error 1355. Attempting to bind directly to

    string.”  le localisateur de DC attend un nom de domaine en tant que paramètre. Donc essaye d’utiliser le FQDN du domaine.

    Tu peux consulter pour cet erreur: http://forums.techarena.in/active-directory/89421.htm  ou http://www.servernewsgroups.net/group/microsoft.public.windows.server.active_directory/topic4404.aspx http://www.winserverkb.com/Uwe/Forum.aspx/windows-server-ad/8294/ADAM-Synchronizer-Beta-question

    http://office-outlook.com/outlook-forum/index.php/m/574259/#msg_574259

    http://forums.techarena.in/active-directory/64934.htm

     

    Tu peux aussi consulter pour référence sur Adamsync : http://blogs.technet.com/efleis/archive/tags/ADAMSync/default.aspx

    Sinon, tu peux consulter le support Microsoft : https://support.microsoft.com/oas/default.aspx?Gprid=3198&st=1

     

    Cordialement

    Roxana


    Roxana Panait, MSFT
    • Marqué comme réponse GCha mardi 29 septembre 2009 07:02
    mardi 29 septembre 2009 05:27
  • Bonjour

     

    question1: quel est le meilleur déploiement possible? Domaine Alpha --> Firewall --> Serveur + AD LDS + application ?

    Je pense que le moyen le plus simple serait de construire un RODC dans la DMZ.

    Conception de RODC dans le réseau de périmètre

    http://technet.microsoft.com/fr-fr/library/dd728028(WS.10).aspx

    Pour plus d'informations sur RODC, voir l'article suivant :

    Guide de déploiement et planification de Read-Only Domain Controller

     http://technet.microsoft.com/fr-fr/library/cc771744(WS.10).aspx

    Pour utiliser AD LDS, nous pourrions avoir besoin d'une configuration supplémentaire afin que l'application puisse fonctionner avec AD LDS. L'authentification intégrée utilise les liaisons SASL. Lorsque ADAM reçoit une demande de liaison SASL, ADAM transmet la demande à Active Directory. Si la demande de liaison est authentifiée par Active Directory, Active Directory renvoie un token  à ADAM.

     

    Je ne suis pas claire comment MIIS fonctionne, donc pas ce n’est pas sur qu’il serait un bon choix dans cette situation.

     

    question2: est il possible de ne faire que pousser la réplication de façon à ne l'avoir qu'unidirectionnelle? Un peu comme un serveur EDGE fonctionne avec Exchange?

     

    Dans la solution RODC, la réplication est unidirectionnelle, du DC vers RODC.

     

    Il n'y a pas de réplication entre AD LDS/ADAM et AD. Pour synchroniser les données de AD vers AD LDS/ADAM, nous pouvons utiliser l'utilitaire adamsync. (http://technet.microsoft.com/fr-fr/library/cc753547(WS.10).aspx )

    Cordialement


    Roxana Panait, MSFT
    lundi 14 septembre 2009 08:55
  • Bonjour,

    Merci pour votre retour si complet.

    Donc si je résume (et sauf mauvaise compréhension), je dois déployer:

    - 1 serveur 2003/2008 avec rôle RODC sur mon domaine (sur lequel mon DC en 2008 écrira)

    - 1 serveur 2003 avec ADAM situé dans ma DMZ qui aura été initialement synchronisé avec ADAMSync et qui lira ensuite les objets du RODC (comptes)


    Merci de votre temps.

    cordialement,

    • Marqué comme réponse GCha mardi 22 septembre 2009 10:44
    mardi 22 septembre 2009 10:04

Toutes les réponses

  • Bonjour

     

    question1: quel est le meilleur déploiement possible? Domaine Alpha --> Firewall --> Serveur + AD LDS + application ?

    Je pense que le moyen le plus simple serait de construire un RODC dans la DMZ.

    Conception de RODC dans le réseau de périmètre

    http://technet.microsoft.com/fr-fr/library/dd728028(WS.10).aspx

    Pour plus d'informations sur RODC, voir l'article suivant :

    Guide de déploiement et planification de Read-Only Domain Controller

     http://technet.microsoft.com/fr-fr/library/cc771744(WS.10).aspx

    Pour utiliser AD LDS, nous pourrions avoir besoin d'une configuration supplémentaire afin que l'application puisse fonctionner avec AD LDS. L'authentification intégrée utilise les liaisons SASL. Lorsque ADAM reçoit une demande de liaison SASL, ADAM transmet la demande à Active Directory. Si la demande de liaison est authentifiée par Active Directory, Active Directory renvoie un token  à ADAM.

     

    Je ne suis pas claire comment MIIS fonctionne, donc pas ce n’est pas sur qu’il serait un bon choix dans cette situation.

     

    question2: est il possible de ne faire que pousser la réplication de façon à ne l'avoir qu'unidirectionnelle? Un peu comme un serveur EDGE fonctionne avec Exchange?

     

    Dans la solution RODC, la réplication est unidirectionnelle, du DC vers RODC.

     

    Il n'y a pas de réplication entre AD LDS/ADAM et AD. Pour synchroniser les données de AD vers AD LDS/ADAM, nous pouvons utiliser l'utilitaire adamsync. (http://technet.microsoft.com/fr-fr/library/cc753547(WS.10).aspx )

    Cordialement


    Roxana Panait, MSFT
    lundi 14 septembre 2009 08:55
  • Bonjour,

    Merci de ce retour.

    Par contre la solution RODC est uniquement valable avec 2008 d'après votre lien

    "Designing RODCs in the Perimeter Network

    Mis à jour: avril 2009

    S'applique à: Windows Server 2008"

    Le serveur localisé en DMZ est un server 2003 R2 donc l'outil sera ADAM.
    Concernant le déploiement d'ADAM, doit il se faire sur un serveur du domaine ou peut on le faire sur le serveur situé en DMZ et dans ce cas comment se fait la synchronisation?

    Merci.

    vendredi 18 septembre 2009 14:06
  • Bonjour,

    ·         Pour la première question :

    Dans l’article : http://technet.microsoft.com/fr-fr/library/cc755058(WS.10).aspx  vous pouvez voir qu’est-ce qu’un RODC et que seulement le dc « writable » doit être Windows Server 2008, celui « read-only » peut être Windows Server 2003 (les considérations pour Windows Server 2003 : http://technet.microsoft.com/en-us/library/cc770370(WS.10).aspx )

    Comme j’ai écrit en haut, « Dans la solution RODC, la réplication est unidirectionnelle, du DC vers RODC. » (Windows 2008 écrit et Windows Server 2003 lit)

    Pourquoi? Voir : http://technet.microsoft.com/en-us/library/cc754956(WS.10).aspx

    How does the KCC differentiate between domain controllers running Windows Server 2003 and domain controllers running Windows Server 2008?

    The NTDS-DSA object has an msDS-Behavior-Version attribute. A value of 2 indicates that the domain controller is running Windows Server 2003. A value of 3 indicates that it is running Windows Server 2008.

    Alors, celui qui transmet doit être 2008.

     

    Vous pouvez consulter aussi : http://technet.microsoft.com/en-us/library/cc772065(WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc771208(WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc753348(WS.10).aspx

    ·         Pour la deuxième question (ADAM) :

    ADAMSYNC : http://technet.microsoft.com/en-us/library/cc753547.aspx (Windows Server 2008) et http://technet.microsoft.com/en-us/library/cc786455(WS.10).aspx (Windows Server 2003)

    Adamsync comes with ADAM (http://blogs.technet.com/efleis/archive/2005/09/06/adamsync-in-r2-a-new-sync-option.aspx )

    Dans l’article: http://technet.microsoft.com/fr-fr/library/cc739844(WS.10).aspx  vous trouverez : « Si possible, dans les environnements Active Directory, exécutez ADAM sur des serveurs membres, et non sur des contrôleurs de domaine. »  et ici détails sur la réplication (http://technet.microsoft.com/fr-fr/library/cc738319(WS.10).aspx )

     

         Donc si ADAM reste sur le serveur 2003 en DMZ : http://technet.microsoft.com/fr-fr/library/cc758386(WS.10).aspx

    La redirection de liaison ADAM (Active Directory Application Mode) est principalement conçue pour une utilisation avec les applications héritées qui ne peuvent pas s'authentifier directement dans Active Directory mais doivent toujours utiliser ADAM comme magasin de données d'application. Par le biais de la redirection de liaison, ADAM peut accepter une demande de liaison d'une application et rediriger cette demande vers Active Directory, en fonction du contenu d'un objet proxy. Un objet proxy dans ADAM représente une entité de sécurité Active Directory, et peut être augmenté pour stocker des données supplémentaires associées à cette entité de sécurité spécifique de l'application. Au moyen d'une redirection de liaison, les applications peuvent tirer parti du magasin d'identités d'Active Directory sans charge de traitement supplémentaire

    Objets Proxy pour la redirection de liaison

    La redirection de liaison repose sur l'existence d'objets stub, ou proxy, dans ADAM, chacun représentant une entité de sécurité Active Directory. Pour mettre en œuvre la redirection de liaison, vous créez d'abord une définition de schéma d'objet proxy pour stocker les données spécifiques de votre application. Dans cette définition, vous incluez la classe auxiliaire msDS-bindProxy. La classe msds-BindProxy possède un attribut unique « must contain », ObjectSid, qui contient l'ID de sécurité (SID) de l'entité de sécurité Active Directory associée. Vous pouvez initialement remplir ADAM avec des objets proxy représentant des utilisateurs Active Directory par le biais d'un mécanisme de synchronisation, tel que Microsoft Identity Integration Server 2003, ou au moyen de la construction et de l'importation de fichiers .ldf dans ADAM. (et cela sera possible car les éléments AD seront sur le serveur – car il sera RODC qui lit)

    Traitement des demandes de liaison

    Lorsqu'un utilisateur envoie une demande de liaison à ADAM, ADAM procède comme suit en fonction du type de demande :

    Pour les demandes de liaison simples :

    • Si la classe d'objet à laquelle l'utilisateur demande une liaison possède msDS-bindableObject comme classe auxiliaire statique, ADAM traite la demande de liaison directement, générant un contexte de sécurité basé sur le SID de l'utilisateur ADAM.
    • Si, la classe d'objet à laquelle l'utilisateur demande une liaison possède msDS-bindProxy comme classe auxiliaire, ADAM redirige la demande de liaison à Active Directory. ADAM génère ensuite un contexte de sécurité qui inclut le jeton qui est retourné par Active Directory en réponse à la redirection, ainsi qu'avec les groupes ADAM dans lesquels l'entité de sécurité est un membre.

     

     

    J’espère que cela peut vous aider.

     

    Cordialement.

     


    Roxana Panait, MSFT
    lundi 21 septembre 2009 05:55
  • Bonjour,

    Merci pour votre retour si complet.

    Donc si je résume (et sauf mauvaise compréhension), je dois déployer:

    - 1 serveur 2003/2008 avec rôle RODC sur mon domaine (sur lequel mon DC en 2008 écrira)

    - 1 serveur 2003 avec ADAM situé dans ma DMZ qui aura été initialement synchronisé avec ADAMSync et qui lira ensuite les objets du RODC (comptes)


    Merci de votre temps.

    cordialement,

    • Marqué comme réponse GCha mardi 22 septembre 2009 10:44
    mardi 22 septembre 2009 10:04
  • Bonjour,

    J'ai monté un environnement virtuel qui se compose comme suit:

    1 serveur W2K8 DC du domaine Vanilla.com
    1 serveur W2K3 R2 dans un workgroup
    ADAM installé sur le W2K3

    J'ai créé des groupes et des utilisateurs sur mon domaine Vanilla.com.

    J'ai installé ADAM sur le W2K3 de la façon suivante:
    -importation de MS-InetOrgPerson, MS-User, MS-UserProxy

    1.lancé les commandes suivantes pour étendre mon ADAM:
    LDIFDE -i -s localhost -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-ADAMSchemaW2k3.ldf
    LDIFDE -i -s localhost -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-ADAMSyncMetadata.ldf
    LDIFDE -i -s localhost -c CN=Schema,CN=Configuration,DC=X #SchemaNamingContext -f MS-inetorgperson.ldf

    2.lancé ADSchemaAnalyzer
    a-Pointé la cible sur mon DC Vanilla.com
    B-Pointé la cible du schéma de base sur mon 2003 contenant ADAM
    c-Marqué tous les éléments non présents comme inclus
    d-Puis Créé mon fichier LDIF

    3.a.Configuré mon fichier AdamSyncconf.xml (en gras ce que j'ai renseigné pour mon lab:

    <?xml version="1.0" ?>
    - <doc>
    - <configuration>
    <description>sample Adamsync configuration file</description>
    <security-mode>object</security-mode>
    <source-ad-name>WIN-2UMV47KSPER</source-ad-name>
    <source-ad-partition>dc=Vanilla,dc=com</source-ad-partition>
    <source-ad-account>Administrateur</source-ad-account>
    <account-domain>vanilla.com</account-domain>
    <target-dn>o=Vanille,c=FR</target-dn>
    - <query>
    <base-dn>dc=Vanilla,dc=com</base-dn>
    <object-filter>(objectClass=*)</object-filter>
    - <attributes>

    etc..

    b.lancé la commande:
    -ADAMSync /install localhost:389 c:\windows\adam\MS-AdamSyncConf.xml
    -adamsync.exe /sync localhost:389 "o=Vanille,c=FR"

    La synchronisation ne me permet pas de voir mes utilisateurs AD côté ADAM: Pourquoi?
    Dois je les créer à la main sur mon ADAM avant de synchroniser? (ce qui veut dire également recréer les groupes).

    Merci de vos retours.

    cordialement,

    mercredi 23 septembre 2009 10:13
  • Bonjour,

    Normalement, on n’a pas besoin de créer de groups dans l’instance ADAM. Les objets devraient être synchronisés d’AD.

    La synchronization avec Active Directory Domain Services

    http://technet.microsoft.com/en-us/library/cc794836(WS.10).aspx

    Est-ce que tu peux nous transmettre le fichier journal que tu as choisi lors de la configuration d’ADAMSync (http://support.microsoft.com/default.aspx/kb/926933 )

    Des détails sur AdschemaAnalyzer: http://technet.microsoft.com/en-us/library/cc780706(WS.10).aspx ? Peux-tu nous coller le fichier LDIF?

     

    Cordialement,


    Roxana Panait, MSFT
    vendredi 25 septembre 2009 09:35
  • Bonjour,

    J'ai recréé une instance proprement.
    ci-dessous:

    fichier AdamSync:
    <?xml version="1.0"?>
    <doc> 
     <configuration>  
      <description>sample Adamsync configuration file</description>  
      <security-mode>object</security-mode>        
      <source-ad-name>WIN-2UMV47KSPER</source-ad-name>  
      <source-ad-partition>dc=Vanilla,dc=com</source-ad-partition>
      <source-ad-account>Administrateur</source-ad-account>               
      <account-domain>vanilla.com</account-domain>
      <target-dn>o=Microsoft,c=FR</target-dn>  
      <query>   
       <base-dn>dc=Vanilla,dc=com</base-dn>
       <object-filter>(objectClass=*)</object-filter>   
       <attributes>    
        <include></include>    
        <exclude>extensionName</exclude>
        <exclude>displayNamePrintable</exclude>    
        <exclude>flags</exclude>    
        <exclude>isPrivelegeHolder</exclude>    
        <exclude>msCom-UserLink</exclude>    
        <exclude>msCom-PartitionSetLink</exclude>    
        <exclude>reports</exclude>   
        <exclude>serviceprincipalname</exclude>
        <exclude>accountExpires</exclude>
        <exclude>adminCount</exclude>
        <exclude>primarygroupid</exclude>
        <exclude>userAccountControl</exclude>
        <exclude>codePage</exclude>
        <exclude>countryCode</exclude>
        <exclude>logonhours</exclude>
        <exclude>lockoutTime</exclude>
       </attributes>  

    etc...mais non modifié

    fichier de logs avec erreurs :(

    Adamsync.exe v1.0 (5.2.3790.2075)
    tablissement de la connexion au serveur cible localhost:50002.
    Enregistrement du fichier de configuration sur O=Microsoft,C=FR
    Le fichier de configuration a ‚t‚ enregistr‚.
    ADAMSync recherche un r‚plica modifiable de WIN-2UMV47KSPER.
    Erreur : L'appel … DCLocator a ‚chou‚ avec l'erreur 1355. Tentative de
    liaison directe avec une chaŒne.
    tablissement de la connexion au serveur source WIN-2UMV47KSPER:389.
    Utilisation du fichier .\dam8.tmp comme magasin pour les r‚f‚rences de noms uniques
    report‚es.
    Peuplement de la m‚moire cache de sch‚mas
    Peuplement de la m‚moire cache d'objets connue
    D‚marrage de la passe de synchronisation … partir de dc=Vanilla,dc=com.
    D‚marrage de la recherche DirSync avec s‚curit‚ de mode object.

    Mise … jour du cookie DirSync du fichier de configuration.

    D‚but du traitement des r‚f‚rences de DN report‚es.
    Fin du traitement des r‚f‚rences de DN report‚es.

    La passe de synchronisation est termin‚e.
    Nombre d'entr‚es trait‚es par DirSync :  0
    Nombre d'entr‚es trait‚es par LDAP :  0
    Le traitement a dur‚ 0 secondes (0, 0).
    Nombre d'ajouts d'objets : 0
    Nombre de modifications d'objets : 0
    Nombre de suppressions d'objets : 0
    Nombre d'objets renomm‚s : 0
    Nombre de r‚f‚rences trait‚es/perdues : 0, 0
    Nombre maximal d'attributs vus sur un seul objet : 0
    Nombre maximal de valeurs r‚cup‚r‚es par syntaxe d'‚tendue : 0

    D‚but de la passe de vieillissement.
    Vieillissement demand‚ toutes les 0 passes. Le dernier vieillissement
    date de 6 passes.
    Enregistrement du fichier de configuration sur O=Microsoft,C=FR
    Le fichier de configuration a ‚t‚ enregistr‚.


    Mon fichier LDIF est beaucoup trop important.
    Je dépasse les 60 000 caractères.
    --> cette LDIF fait suite à une extension de schéma en 2003 R2.

    Ldifde -I -f r2schema.ldf -s localhost:50002 -j . -c "cn=Configuration,dc=X" #configurationNamingContext

    Cordialement,

    vendredi 25 septembre 2009 14:16
  • Bonjour,

    Merci de ton retour,

    Est-ce que tu peux nous transmettre le contenu de .\dam8.tmp ?

    L’erreur 1355 est une erreur d’authentification. Est-ce que les serveurs peuvent communiquer entre elles sans problèmes ? Le ping de l’un à l’autre fonctionne ? (est-ce le pare-feu arrêté ?)

     

    Cordialement


    Roxana Panait, MSFT
    vendredi 25 septembre 2009 14:51
  • Je ne trouve pas de fichier dam8.tmp, j'ai fait une recherche sur mon serveur 2008 que je souhaite répliquer sur mon serveur 2003 sur lequel est l'instance adam.

    Actuellement, le 2008 compose seul le domaine et le 2003 est un serveur en workgroup.

    Les 2 se ping bien via leur adresse IP et via le nom du serveur 2008:WIN-2UMV47KSPER



    Cordialement,
    vendredi 25 septembre 2009 15:04
  • Bonjour,

    J'ai recréé une instance proprement.
    ci-dessous:

    fichier AdamSync:
    <?xml version="1.0"?>
    <doc> 
     <configuration>  
      <description>sample Adamsync configuration file</description>  
      <security-mode>object</security-mode>        
      <source-ad-name>WIN-2UMV47KSPER</source-ad-name>  
      <source-ad-partition>dc=Vanilla,dc=com</source-ad-partition>
      <source-ad-account>Administrateur</source-ad-account>               
      <account-domain>vanilla.com</account-domain>
      <target-dn>o=Microsoft,c=FR</target-dn>  
      <query>   
       <base-dn>dc=Vanilla,dc=com</base-dn>
       <object-filter>(objectClass=*)</object-filter>   
       <attributes>    
        <include></include>    
        <exclude>extensionName</exclude>
        <exclude>displayNamePrintable</exclude>    
        <exclude>flags</exclude>    
        <exclude>isPrivelegeHolder</exclude>    
        <exclude>msCom-UserLink</exclude>    
        <exclude>msCom-PartitionSetLink</exclude>    
        <exclude>reports</exclude>   
        <exclude>serviceprincipalname</exclude>
        <exclude>accountExpires</exclude>
        <exclude>adminCount</exclude>
        <exclude>primarygroupid</exclude>
        <exclude>userAccountControl</exclude>
        <exclude>codePage</exclude>
        <exclude>countryCode</exclude>
        <exclude>logonhours</exclude>
        <exclude>lockoutTime</exclude>
       </attributes>  

    etc...mais non modifié

    fichier de logs avec erreurs :(

    Adamsync.exe v1.0 (5.2.3790.2075)
    tablissement de la connexion au serveur cible localhost:50002.
    Enregistrement du fichier de configuration sur O=Micro
    soft,C=FR
    Le fichier de configuration a ‚t‚ enregistr‚.
    ADAMSync recherche un r‚plica modifiable de WIN-2UMV47KSPER.
    Erreur : L'appel … DCLocator a ‚chou‚ avec l'erreur 1355. Tentative de
    liaison directe avec une chaŒne.
    tablissement de la connexion au serveur source WIN-2UMV47KSPER:389.
    Utilisation du fichier .\dam8.tmp comme magasin pour les r‚f‚rences de noms uniques
    report‚es.

    ……………………………

     Bonjour, 

    Dans tes logs tu as ce fichier comme magasin de références de noms uniques. As-tu essayé aussi de voir les fichiers cachés ?

    Cordialement, 

    Roxana


    Roxana Panait, MSFT
    lundi 28 septembre 2009 07:42
  • En fait ce n'était pas un problème de fichiers cachés mais simplement que je n'ai pas de dam8.tmp mais:

    dam11C.tmp, dam11E.tmp, damE5.tmp

    cedfb9e9b6e5bd4f89de9b81a28afcc2
    ipsecISAKMPReference
    05195bfb11a4c74593c1471f5c641db2

    cedfb9e9b6e5bd4f89de9b81a28afcc2
    ipsecNFAReference
    13179248cfd55f4697cb1aa782dc1c2e
    1f3dbebe3491af4688b170aae0091875
    1ff1e6dae1df5f4f975a0e36a87833cf

    05195bfb11a4c74593c1471f5c641db2
    ipsecOwnersReference
    cedfb9e9b6e5bd4f89de9b81a28afcc2

    1ff1e6dae1df5f4f975a0e36a87833cf
    ipsecOwnersReference
    cedfb9e9b6e5bd4f89de9b81a28afcc2

    1ff1e6dae1df5f4f975a0e36a87833cf
    ipsecNegotiationPolicyReference
    15c9d4a7e171b448b09dda32ddb1ef31

    1ff1e6dae1df5f4f975a0e36a87833cf
    ipsecFilterReference
    32d065f3277dc545a503bb895e4fbc65

    1f3dbebe3491af4688b170aae0091875
    ipsecOwnersReference
    cedfb9e9b6e5bd4f89de9b81a28afcc2

    1f3dbebe3491af4688b170aae0091875
    ipsecNegotiationPolicyReference
    1f352490229b5247b540570887485e85

    13179248cfd55f4697cb1aa782dc1c2e
    ipsecOwnersReference
    cedfb9e9b6e5bd4f89de9b81a28afcc2

    13179248cfd55f4697cb1aa782dc1c2e
    ipsecNegotiationPolicyReference
    65792efb4194b146a4f1f6aa4c6d1f66

    13179248cfd55f4697cb1aa782dc1c2e
    ipsecFilterReference
    1555a3646c02cc4da324c301683d399f

    975a926c5b2a99449cb8b9c87e1d8d95
    ipsecISAKMPReference
    0e109e6d6a41294db75011e821dc1fd6

    975a926c5b2a99449cb8b9c87e1d8d95
    ipsecNFAReference
    dd4f68988d607a4fbcaf4e892cfb29d0

    0e109e6d6a41294db75011e821dc1fd6
    ipsecOwnersReference
    975a926c5b2a99449cb8b9c87e1d8d95

    dd4f68988d607a4fbcaf4e892cfb29d0
    ipsecOwnersReference
    975a926c5b2a99449cb8b9c87e1d8d95

    dd4f68988d607a4fbcaf4e892cfb29d0
    ipsecNegotiationPolicyReference
    f93470fc91070a4995bf4eac0c393dca

    01afb0355afef04c8600f7307a3d77ef
    ipsecISAKMPReference
    0b44f4ba8bab15428c167547f769389f

    01afb0355afef04c8600f7307a3d77ef
    ipsecNFAReference
    7cfd1c8d77be594d8e7fa9cd3a71636b
    180db2a591ea2546ab95aba01663d56a
    7bb65c799b3f0449a8b2887e6d28d6ce

    0b44f4ba8bab15428c167547f769389f
    ipsecOwnersReference
    01afb0355afef04c8600f7307a3d77ef

    7bb65c799b3f0449a8b2887e6d28d6ce
    ipsecOwnersReference
    01afb0355afef04c8600f7307a3d77ef

    7bb65c799b3f0449a8b2887e6d28d6ce
    ipsecNegotiationPolicyReference
    30678f616dae67469286ead4cb6eab12

    7bb65c799b3f0449a8b2887e6d28d6ce
    ipsecFilterReference
    32d065f3277dc545a503bb895e4fbc65

    180db2a591ea2546ab95aba01663d56a
    ipsecOwnersReference
    01afb0355afef04c8600f7307a3d77ef

    180db2a591ea2546ab95aba01663d56a
    ipsecNegotiationPolicyReference
    6c7f84ea80e5e74aaee82819f3a1a357

    7cfd1c8d77be594d8e7fa9cd3a71636b
    ipsecOwnersReference
    01afb0355afef04c8600f7307a3d77ef

    7cfd1c8d77be594d8e7fa9cd3a71636b
    ipsecNegotiationPolicyReference
    65792efb4194b146a4f1f6aa4c6d1f66

    7cfd1c8d77be594d8e7fa9cd3a71636b
    ipsecFilterReference
    1555a3646c02cc4da324c301683d399f

    1f352490229b5247b540570887485e85
    ipsecOwnersReference
    1f3dbebe3491af4688b170aae0091875

    6c7f84ea80e5e74aaee82819f3a1a357
    ipsecOwnersReference
    180db2a591ea2546ab95aba01663d56a

    f93470fc91070a4995bf4eac0c393dca
    ipsecOwnersReference
    dd4f68988d607a4fbcaf4e892cfb29d0

    15c9d4a7e171b448b09dda32ddb1ef31
    ipsecOwnersReference
    1ff1e6dae1df5f4f975a0e36a87833cf

    30678f616dae67469286ead4cb6eab12
    ipsecOwnersReference
    7bb65c799b3f0449a8b2887e6d28d6ce

    65792efb4194b146a4f1f6aa4c6d1f66
    ipsecOwnersReference
    13179248cfd55f4697cb1aa782dc1c2e
    7cfd1c8d77be594d8e7fa9cd3a71636b

    32d065f3277dc545a503bb895e4fbc65
    ipsecOwnersReference
    1ff1e6dae1df5f4f975a0e36a87833cf
    7bb65c799b3f0449a8b2887e6d28d6ce

    1555a3646c02cc4da324c301683d399f
    ipsecOwnersReference
    13179248cfd55f4697cb1aa782dc1c2e
    7cfd1c8d77be594d8e7fa9cd3a71636b

    Cordialement,

    lundi 28 septembre 2009 08:35
  • Bonjour,

    Un exemple sur comment importer  dans ADAM les changements du fichier .ldf :

    ldifde -i -u -f SchemaChanges.ldf -s server:port -b username domain password -j

    . -c "cn=Configuration,dc=X" #configurationNamingContext

    Ou si vous avez une session ouverte en tant qu’administrateur :

     

     

    >ldifde -i -u -f SchemaChanges.ldf -s localhost:389 -c "cn=Conf

    iguration,dc=X" #configurationNamingContext

    Connecting to "localhost:389"

    Logging in as current user using SSPI

    Importing directory from file "SchemaChanges.ldf"

    Loading entries.................................................................

    ................................................................................

    ...........

    …x entries modified successfully.

    The command has completed successfully

    Vérifiez que votre compte administrateur soit membre de « Enterprise Admins » et « Schema Admins ». Essayez aussi avec le pare feu desactive.

    Cordialement

     


    Roxana Panait, MSFT
    lundi 28 septembre 2009 11:02
  • Merci pour la commande ^^

    Une fois que vous l'avez exécutée, voyez vous vos groupes et utilisateurs nouvellement importés?
    • Modifié GCha lundi 28 septembre 2009 11:52 ortho
    lundi 28 septembre 2009 11:43
  • Bonjour,

    ·         Après ces commandes :

    ldifde -i -u -f SchemaChanges.ldf -s server:port -b username domain password -j

    . -c "cn=Configuration,dc=X" #configurationNamingContext

    ou

     

     

    >ldifde -i -u -f SchemaChanges.ldf -s localhost:389 -c "cn=Conf

    iguration,dc=X" #configurationNamingContext

    Connecting to "localhost:389"

    Logging in as current user using SSPI

    Importing directory from file "SchemaChanges.ldf"

    Loading entries.................................................................

    ................................................................................

    ...........

    …x entries modified successfully.

    The command has completed successfully

    ·         J’ai utilisé AdamsyncMetadata.ldf :

    C:\WINDOWS\ADAM>ldifde -i -f MS-AdamSyncMetadata.LDF -s localhost:389 -c

    "cn=Cofiguration,dc=X" #configurationNamingContext

    Connecting to "localhost:389"

    Logging in as current user using SSPI

    Importing directory from file "MS-AdamSyncMetadata.LDF"

     

    ·         Ensuite, j’ai créé le fichier de configuration c:\WINDOWS\ADAM folder – Ms-AdamsyncConf.XML que j’ai édité:

    <?xml version="1.0"?>

    <doc>

    <configuration>

    <description>config file for app1</description>

    <security-mode>object</security-mode>

    <source-ad-name>domainname.com</source-ad-name>

    <source-ad-partition>dc=domainname,dc=com</source-ad-partition>

    <source-ad-account></source-ad-account>

    <account-domain></account-domain>

    <target-dn>dc=app1</target-dn>

    <query>

    <base-dn>ou=employees,dc=domainname,dc=com</base-dn>

    <object-filter>(objectCategory=*)</object-filter>

    <attributes>

    <include></include>

    <exclude>extensionName</exclude>

    <exclude>flags</exclude>

    <exclude>isPrivelegeHolder</exclude>

    <exclude>msCom-UserLink</exclude>

    <exclude>msCom-PartitionSetLink</exclude>

    .........
    </attributes>

    </query>

    <schedule>

    <aging>

    <frequency>0</frequency>

    <num-objects>0</num-objects>

    </aging>

    <schtasks-cmd></schtasks-cmd>

    </schedule>

    </configuration>

    <synchronizer-state>

    <dirsync-cookie></dirsync-cookie>

    <status></status>

    <authoritative-adam-instance></authoritative-adam-instance>

    <configuration-file-guid></configuration-file-guid>

    <last-sync-attempt-time></last-sync-attempt-time>

    <last-sync-success-time></last-sync-success-time>

    <last-sync-error-time></last-sync-error-time>

    <last-sync-error-string></last-sync-error-string>

    <consecutive-sync-failures></consecutive-sync-failures>

    <user-credentials></user-credentials>

    <runs-since-last-object-update></runs-since-last-object-update>

    <runs-since-last-full-sync></runs-since-last-full-sync>

    </synchronizer-state>

    </doc>

    ·         J’ai installé le fichier de  configuration:

    C:\WINDOWS\ADAM>adamsync /i localhost:389 app1.XML /log –

    Si je veux voir le fichier de configuration: C:\WINDOWS\ADAM>adamsync /l localhost:389

    Ou bien l’état :

    adamsync /cs localhost:389 /log –

    ou bien

    adamsync /sync localhost:389 dc=app1 /ldifin ldif.txt /log c:\logs\synclog.txt

    J’ai pris les objets de DC  (dirsync/LDAP query) :

    baseDN (string) e.g dc=domainname,dc=com

    filter (string) e.g. (objectClass = *)

    Scope (Base, onelevel,subtree)

    attributes (vector)

    controls (LDAPControl which consists of IOD etc)

    Flags (dword)

     

    Plus sur Dirsync : http://msdn.microsoft.com/en-us/library/aa366978(VS.85).aspx et sur LDAP : http://msdn.microsoft.com/en-us/library/aa366123(VS.85).aspx

    Apres avoir établi ce que je veux synchroniser ou non, si je crée quelque chose d’autre dans mon AD je peux exécuter :

    adamsync /sync localhost:389 dc=app1 /log c:\logs\synclog4.txt

    Ensuite je compare mes objets AD avec ce que j’ai syncronisé avec adamsync.

     

     

    Pour l’erreur listée dans ton log : « Error: DCLocator call failed with error 1355. Attempting to bind directly to

    string.”  le localisateur de DC attend un nom de domaine en tant que paramètre. Donc essaye d’utiliser le FQDN du domaine.

    Tu peux consulter pour cet erreur: http://forums.techarena.in/active-directory/89421.htm  ou http://www.servernewsgroups.net/group/microsoft.public.windows.server.active_directory/topic4404.aspx http://www.winserverkb.com/Uwe/Forum.aspx/windows-server-ad/8294/ADAM-Synchronizer-Beta-question

    http://office-outlook.com/outlook-forum/index.php/m/574259/#msg_574259

    http://forums.techarena.in/active-directory/64934.htm

     

    Tu peux aussi consulter pour référence sur Adamsync : http://blogs.technet.com/efleis/archive/tags/ADAMSync/default.aspx

    Sinon, tu peux consulter le support Microsoft : https://support.microsoft.com/oas/default.aspx?Gprid=3198&st=1

     

    Cordialement

    Roxana


    Roxana Panait, MSFT
    • Marqué comme réponse GCha mardi 29 septembre 2009 07:02
    mardi 29 septembre 2009 05:27
  • Bonjour,

    Merci beaucoup, en regardant votre xml, j'ai remarqué que vous spécifiiez l'OU à prendre en compte et j'ai donc modifié mon XML en conséquence:

    <target-dn>o=Micro,c=FR</target-dn>  
      <query>   
       <base-dn>ou=people,dc=Vanilla,dc=com</base-dn>
       <object-filter>(objectClass=*)</object-filter>

    Le peuplement se passe bien pour mon OU=PEOPLE.     MERCI BEAUCOUP


    -->A présent, je voudrais savoir comment faire pour importer toutes mes OU? j'ai testé en mettant mes OU les unes à la suite des autres comme ci-dessous

    <base-dn>ou=collab,ou=people,dc=Vanilla,dc=com</base-dn>

    mais cela me vide ma base ADAM

    j'ai testé également en mettant *

    <base-dn>ou=*,dc=Vanilla,dc=com</base-dn>

    et pareil aucun peuplement.


    • Modifié GCha mercredi 30 septembre 2009 14:17 ortho
    mercredi 30 septembre 2009 14:16
  • Bonjour,

    La virgule doit convenir :

    http://support.microsoft.com/kb/926933

    source-ad-name>03child.MyDomCon.net</source-ad-name>                 

      <source-ad-partition>dc=03child,dc=MyDomCon,dc=net</source-ad-partition>

      <source-ad-account></source-ad-account>               

      <account-domain></account-domain>

      <target-dn>DistinguishedNameOfADAMpartition</target-dn>                               

      <query>                                              

       <base-dn>OU=Grandchild,OU=Child,DC=03child,DC=MyDomCon,DC=net</base-dn>

    Voir aussi :

    http://www.eggheadcafe.com/conversation.aspx?messageid=30427040&threadid=30426869

    http://www.eggheadcafe.com/conversation.aspx?messageid=30559610&threadid=30426869

    http://blogs.technet.com/efleis/archive/2005/09/15/synchronizing-only-the-attributes-you-really-want.aspx  

     

    Cordialement


    Roxana Panait, MSFT
    mercredi 30 septembre 2009 14:38