Réplication unidirectionnelle via AD LDS pour authentification d'une application en DMZ

Toutes les réponses

• 

  

  0

  Connectez-vous pour voter

  Bonjour

   

  question1: quel est le meilleur déploiement possible? Domaine Alpha --> Firewall --> Serveur + AD LDS + application ?

  Je pense que le moyen le plus simple serait de construire un RODC dans la DMZ.

  Conception de RODC dans le réseau de périmètre

  http://technet.microsoft.com/fr-fr/library/dd728028(WS.10).aspx

  Pour plus d'informations sur RODC, voir l'article suivant :

  Guide de déploiement et planification de Read-Only Domain Controller

   http://technet.microsoft.com/fr-fr/library/cc771744(WS.10).aspx

  Pour utiliser AD LDS, nous pourrions avoir besoin d'une configuration supplémentaire afin que l'application puisse fonctionner avec AD LDS. L'authentification intégrée utilise les liaisons SASL. Lorsque ADAM reçoit une demande de liaison SASL, ADAM transmet la demande à Active Directory. Si la demande de liaison est authentifiée par Active Directory, Active Directory renvoie un token  à ADAM.

   

  Je ne suis pas claire comment MIIS fonctionne, donc pas ce n’est pas sur qu’il serait un bon choix dans cette situation.

   

  question2: est il possible de ne faire que pousser la réplication de façon à ne l'avoir qu'unidirectionnelle? Un peu comme un serveur EDGE fonctionne avec Exchange?

   

  Dans la solution RODC, la réplication est unidirectionnelle, du DC vers RODC.

   

  Il n'y a pas de réplication entre AD LDS/ADAM et AD. Pour synchroniser les données de AD vers AD LDS/ADAM, nous pouvons utiliser l'utilitaire adamsync. (http://technet.microsoft.com/fr-fr/library/cc753547(WS.10).aspx )

  Cordialement

  ---

  Roxana Panait, MSFT

  • Proposé comme réponse Roxana PANAITMicrosoft employee lundi 14 septembre 2009 08:58
  • Marqué comme réponse Roxana PANAITMicrosoft employee mercredi 16 septembre 2009 06:17

  lundi 14 septembre 2009 08:55
• 

  

  0

  Connectez-vous pour voter

  Bonjour,
  
  Merci de ce retour.
  
  Par contre la solution RODC est uniquement valable avec 2008 d'après votre lien
  

  
  "Designing RODCs in the Perimeter Network

  Mis à jour: avril 2009

  S'applique à: Windows Server 2008"
  
  Le serveur localisé en DMZ est un server 2003 R2 donc l'outil sera ADAM.
  Concernant le déploiement d'ADAM, doit il se faire sur un serveur du domaine ou peut on le faire sur le serveur situé en DMZ et dans ce cas comment se fait la synchronisation?
  
  Merci.
  

  vendredi 18 septembre 2009 14:06
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  ·         Pour la première question :

  Dans l’article : http://technet.microsoft.com/fr-fr/library/cc755058(WS.10).aspx  vous pouvez voir qu’est-ce qu’un RODC et que seulement le dc « writable » doit être Windows Server 2008, celui « read-only » peut être Windows Server 2003 (les considérations pour Windows Server 2003 : http://technet.microsoft.com/en-us/library/cc770370(WS.10).aspx )

  Comme j’ai écrit en haut, « Dans la solution RODC, la réplication est unidirectionnelle, du DC vers RODC. » (Windows 2008 écrit et Windows Server 2003 lit)

  Pourquoi? Voir : http://technet.microsoft.com/en-us/library/cc754956(WS.10).aspx

  How does the KCC differentiate between domain controllers running Windows Server 2003 and domain controllers running Windows Server 2008?

  The NTDS-DSA object has an msDS-Behavior-Version attribute. A value of 2 indicates that the domain controller is running Windows Server 2003. A value of 3 indicates that it is running Windows Server 2008.

  Alors, celui qui transmet doit être 2008.

   

  Vous pouvez consulter aussi : http://technet.microsoft.com/en-us/library/cc772065(WS.10).aspx

  http://technet.microsoft.com/en-us/library/cc771208(WS.10).aspx

  http://technet.microsoft.com/en-us/library/cc753348(WS.10).aspx

  ·         Pour la deuxième question (ADAM) :

  ADAMSYNC : http://technet.microsoft.com/en-us/library/cc753547.aspx (Windows Server 2008) et http://technet.microsoft.com/en-us/library/cc786455(WS.10).aspx (Windows Server 2003)

  Adamsync comes with ADAM (http://blogs.technet.com/efleis/archive/2005/09/06/adamsync-in-r2-a-new-sync-option.aspx )

  Dans l’article: http://technet.microsoft.com/fr-fr/library/cc739844(WS.10).aspx  vous trouverez : « Si possible, dans les environnements Active Directory, exécutez ADAM sur des serveurs membres, et non sur des contrôleurs de domaine. »  et ici détails sur la réplication (http://technet.microsoft.com/fr-fr/library/cc738319(WS.10).aspx )

   

       Donc si ADAM reste sur le serveur 2003 en DMZ : http://technet.microsoft.com/fr-fr/library/cc758386(WS.10).aspx

  La redirection de liaison ADAM (Active Directory Application Mode) est principalement conçue pour une utilisation avec les applications héritées qui ne peuvent pas s'authentifier directement dans Active Directory mais doivent toujours utiliser ADAM comme magasin de données d'application. Par le biais de la redirection de liaison, ADAM peut accepter une demande de liaison d'une application et rediriger cette demande vers Active Directory, en fonction du contenu d'un objet proxy. Un objet proxy dans ADAM représente une entité de sécurité Active Directory, et peut être augmenté pour stocker des données supplémentaires associées à cette entité de sécurité spécifique de l'application. Au moyen d'une redirection de liaison, les applications peuvent tirer parti du magasin d'identités d'Active Directory sans charge de traitement supplémentaire

  Objets Proxy pour la redirection de liaison

  La redirection de liaison repose sur l'existence d'objets stub, ou proxy, dans ADAM, chacun représentant une entité de sécurité Active Directory. Pour mettre en œuvre la redirection de liaison, vous créez d'abord une définition de schéma d'objet proxy pour stocker les données spécifiques de votre application. Dans cette définition, vous incluez la classe auxiliaire msDS-bindProxy. La classe msds-BindProxy possède un attribut unique « must contain », ObjectSid, qui contient l'ID de sécurité (SID) de l'entité de sécurité Active Directory associée. Vous pouvez initialement remplir ADAM avec des objets proxy représentant des utilisateurs Active Directory par le biais d'un mécanisme de synchronisation, tel que Microsoft Identity Integration Server 2003, ou au moyen de la construction et de l'importation de fichiers .ldf dans ADAM. (et cela sera possible car les éléments AD seront sur le serveur – car il sera RODC qui lit)

  Traitement des demandes de liaison

  Lorsqu'un utilisateur envoie une demande de liaison à ADAM, ADAM procède comme suit en fonction du type de demande :

  Pour les demandes de liaison simples :

  • Si la classe d'objet à laquelle l'utilisateur demande une liaison possède msDS-bindableObject comme classe auxiliaire statique, ADAM traite la demande de liaison directement, générant un contexte de sécurité basé sur le SID de l'utilisateur ADAM.
  • Si, la classe d'objet à laquelle l'utilisateur demande une liaison possède msDS-bindProxy comme classe auxiliaire, ADAM redirige la demande de liaison à Active Directory. ADAM génère ensuite un contexte de sécurité qui inclut le jeton qui est retourné par Active Directory en réponse à la redirection, ainsi qu'avec les groupes ADAM dans lesquels l'entité de sécurité est un membre.

   

   

  J’espère que cela peut vous aider.

   

  Cordialement.

   

  ---

  Roxana Panait, MSFT

  lundi 21 septembre 2009 05:55
• 

  

  0

  Connectez-vous pour voter

  Bonjour,
  
  Merci pour votre retour si complet.
  
  Donc si je résume (et sauf mauvaise compréhension), je dois déployer:
  
  - 1 serveur 2003/2008 avec rôle RODC sur mon domaine (sur lequel mon DC en 2008 écrira)
  
  - 1 serveur 2003 avec ADAM situé dans ma DMZ qui aura été initialement synchronisé avec ADAMSync et qui lira ensuite les objets du RODC (comptes)
  
  
  Merci de votre temps.
  
  cordialement,

  • Marqué comme réponse GCha mardi 22 septembre 2009 10:44

  mardi 22 septembre 2009 10:04
• 

  

  0

  Connectez-vous pour voter

  Bonjour,
  
  J'ai monté un environnement virtuel qui se compose comme suit:
  
  1 serveur W2K8 DC du domaine Vanilla.com
  1 serveur W2K3 R2 dans un workgroup
  ADAM installé sur le W2K3
  
  J'ai créé des groupes et des utilisateurs sur mon domaine Vanilla.com.
  
  J'ai installé ADAM sur le W2K3 de la façon suivante:
  -importation de MS-InetOrgPerson, MS-User, MS-UserProxy
  
  1.lancé les commandes suivantes pour étendre mon ADAM:
  LDIFDE -i -s localhost -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-ADAMSchemaW2k3.ldf
  LDIFDE -i -s localhost -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-ADAMSyncMetadata.ldf
  LDIFDE -i -s localhost -c CN=Schema,CN=Configuration,DC=X #SchemaNamingContext -f MS-inetorgperson.ldf
  
  2.lancé ADSchemaAnalyzer
  a-Pointé la cible sur mon DC Vanilla.com
  B-Pointé la cible du schéma de base sur mon 2003 contenant ADAM
  c-Marqué tous les éléments non présents comme inclus
  d-Puis Créé mon fichier LDIF
  
  3.a.Configuré mon fichier AdamSyncconf.xml (en gras ce que j'ai renseigné pour mon lab:
  

  <?xml version="1.0" ?>
  - <doc>
  - <configuration>
  <description>sample Adamsync configuration file</description>
  <security-mode>object</security-mode>
  <source-ad-name>WIN-2UMV47KSPER</source-ad-name>
  <source-ad-partition>dc=Vanilla,dc=com</source-ad-partition>
  <source-ad-account>Administrateur</source-ad-account>
  <account-domain>vanilla.com</account-domain>
  <target-dn>o=Vanille,c=FR</target-dn>
  - <query>
  <base-dn>dc=Vanilla,dc=com</base-dn>
  <object-filter>(objectClass=*)</object-filter>
  - <attributes>
  
  etc..
  
  b.lancé la commande:
  -ADAMSync /install localhost:389 c:\windows\adam\MS-AdamSyncConf.xml
  -adamsync.exe /sync localhost:389 "o=Vanille,c=FR"
  
  La synchronisation ne me permet pas de voir mes utilisateurs AD côté ADAM: Pourquoi?
  Dois je les créer à la main sur mon ADAM avant de synchroniser? (ce qui veut dire également recréer les groupes).
  
  Merci de vos retours.
  
  cordialement,

  mercredi 23 septembre 2009 10:13
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  Normalement, on n’a pas besoin de créer de groups dans l’instance ADAM. Les objets devraient être synchronisés d’AD.

  La synchronization avec Active Directory Domain Services

  http://technet.microsoft.com/en-us/library/cc794836(WS.10).aspx

  Est-ce que tu peux nous transmettre le fichier journal que tu as choisi lors de la configuration d’ADAMSync (http://support.microsoft.com/default.aspx/kb/926933 )

  Des détails sur AdschemaAnalyzer: http://technet.microsoft.com/en-us/library/cc780706(WS.10).aspx ? Peux-tu nous coller le fichier LDIF?

   

  Cordialement,

  ---

  Roxana Panait, MSFT

  vendredi 25 septembre 2009 09:35
• 

  

  0

  Connectez-vous pour voter

  Bonjour,
  
  J'ai recréé une instance proprement.
  ci-dessous:
  
  fichier AdamSync:
  <?xml version="1.0"?>
  <doc> 
   <configuration>  
    <description>sample Adamsync configuration file</description>  
    <security-mode>object</security-mode>        
    <source-ad-name>WIN-2UMV47KSPER</source-ad-name>  
    <source-ad-partition>dc=Vanilla,dc=com</source-ad-partition>
    <source-ad-account>Administrateur</source-ad-account>               
    <account-domain>vanilla.com</account-domain>
    <target-dn>o=Microsoft,c=FR</target-dn>  
    <query>   
     <base-dn>dc=Vanilla,dc=com</base-dn>
     <object-filter>(objectClass=*)</object-filter>   
     <attributes>    
      <include></include>    
      <exclude>extensionName</exclude>
      <exclude>displayNamePrintable</exclude>    
      <exclude>flags</exclude>    
      <exclude>isPrivelegeHolder</exclude>    
      <exclude>msCom-UserLink</exclude>    
      <exclude>msCom-PartitionSetLink</exclude>    
      <exclude>reports</exclude>   
      <exclude>serviceprincipalname</exclude>
      <exclude>accountExpires</exclude>
      <exclude>adminCount</exclude>
      <exclude>primarygroupid</exclude>
      <exclude>userAccountControl</exclude>
      <exclude>codePage</exclude>
      <exclude>countryCode</exclude>
      <exclude>logonhours</exclude>
      <exclude>lockoutTime</exclude>
     </attributes>  
  
  etc...mais non modifié
  
  fichier de logs avec erreurs :(
  
  Adamsync.exe v1.0 (5.2.3790.2075)
  tablissement de la connexion au serveur cible localhost:50002.
  Enregistrement du fichier de configuration sur O=Microsoft,C=FR
  Le fichier de configuration a ‚t‚ enregistr‚.
  ADAMSync recherche un r‚plica modifiable de WIN-2UMV47KSPER.
  Erreur : L'appel … DCLocator a ‚chou‚ avec l'erreur 1355. Tentative de
  liaison directe avec une chaŒne.
  tablissement de la connexion au serveur source WIN-2UMV47KSPER:389.
  Utilisation du fichier .\dam8.tmp comme magasin pour les r‚f‚rences de noms uniques
  report‚es.
  Peuplement de la m‚moire cache de sch‚mas
  Peuplement de la m‚moire cache d'objets connue
  D‚marrage de la passe de synchronisation … partir de dc=Vanilla,dc=com.
  D‚marrage de la recherche DirSync avec s‚curit‚ de mode object.

  Mise … jour du cookie DirSync du fichier de configuration.

  D‚but du traitement des r‚f‚rences de DN report‚es.
  Fin du traitement des r‚f‚rences de DN report‚es.

  La passe de synchronisation est termin‚e.
  Nombre d'entr‚es trait‚es par DirSync :  0
  Nombre d'entr‚es trait‚es par LDAP :  0
  Le traitement a dur‚ 0 secondes (0, 0).
  Nombre d'ajouts d'objets : 0
  Nombre de modifications d'objets : 0
  Nombre de suppressions d'objets : 0
  Nombre d'objets renomm‚s : 0
  Nombre de r‚f‚rences trait‚es/perdues : 0, 0
  Nombre maximal d'attributs vus sur un seul objet : 0
  Nombre maximal de valeurs r‚cup‚r‚es par syntaxe d'‚tendue : 0

  D‚but de la passe de vieillissement.
  Vieillissement demand‚ toutes les 0 passes. Le dernier vieillissement
  date de 6 passes.
  Enregistrement du fichier de configuration sur O=Microsoft,C=FR
  Le fichier de configuration a ‚t‚ enregistr‚.
  
  
  Mon fichier LDIF est beaucoup trop important.
  Je dépasse les 60 000 caractères.
  --> cette LDIF fait suite à une extension de schéma en 2003 R2.

  Ldifde -I -f r2schema.ldf -s localhost:50002 -j . -c "cn=Configuration,dc=X" #configurationNamingContext
  
  Cordialement,

  vendredi 25 septembre 2009 14:16
• 

  

  0

  Connectez-vous pour voter

  Bonjour,

  Merci de ton retour,

  Est-ce que tu peux nous transmettre le contenu de .\dam8.tmp ?

  L’erreur 1355 est une erreur d’authentification. Est-ce que les serveurs peuvent communiquer entre elles sans problèmes ? Le ping de l’un à l’autre fonctionne ? (est-ce le pare-feu arrêté ?)

   

  Cordialement

  ---

  Roxana Panait, MSFT

  vendredi 25 septembre 2009 14:51
• 

  

  0

  Connectez-vous pour voter

  Je ne trouve pas de fichier dam8.tmp, j'ai fait une recherche sur mon serveur 2008 que je souhaite répliquer sur mon serveur 2003 sur lequel est l'instance adam.
  
  Actuellement, le 2008 compose seul le domaine et le 2003 est un serveur en workgroup.
  
  Les 2 se ping bien via leur adresse IP et via le nom du serveur 2008:WIN-2UMV47KSPER
  
  
  
  Cordialement,

  vendredi 25 septembre 2009 15:04
• 

  

  0

  Connectez-vous pour voter

  Bonjour,
  
  J'ai recréé une instance proprement.
  ci-dessous:
  
  fichier AdamSync:
  <?xml version="1.0"?>
  <doc> 
   <configuration>  
    <description>sample Adamsync configuration file</description>  
    <security-mode>object</security-mode>        
    <source-ad-name>WIN-2UMV47KSPER</source-ad-name>  
    <source-ad-partition>dc=Vanilla,dc=com</source-ad-partition>
    <source-ad-account>Administrateur</source-ad-account>               
    <account-domain>vanilla.com</account-domain>
    <target-dn>o=Microsoft,c=FR</target-dn>  
    <query>   
     <base-dn>dc=Vanilla,dc=com</base-dn>
     <object-filter>(objectClass=*)</object-filter>   
     <attributes>    
      <include></include>    
      <exclude>extensionName</exclude>
      <exclude>displayNamePrintable</exclude>    
      <exclude>flags</exclude>    
      <exclude>isPrivelegeHolder</exclude>    
      <exclude>msCom-UserLink</exclude>    
      <exclude>msCom-PartitionSetLink</exclude>    
      <exclude>reports</exclude>   
      <exclude>serviceprincipalname</exclude>
      <exclude>accountExpires</exclude>
      <exclude>adminCount</exclude>
      <exclude>primarygroupid</exclude>
      <exclude>userAccountControl</exclude>
      <exclude>codePage</exclude>
      <exclude>countryCode</exclude>
      <exclude>logonhours</exclude>
      <exclude>lockoutTime</exclude>
     </attributes>  
  
  etc...mais non modifié
  
  fichier de logs avec erreurs :(
  
  Adamsync.exe v1.0 (5.2.3790.2075)
  tablissement de la connexion au serveur cible localhost:50002.
  Enregistrement du fichier de configuration sur O=Microsoft,C=FR
  Le fichier de configuration a ‚t‚ enregistr‚.
  ADAMSync recherche un r‚plica modifiable de WIN-2UMV47KSPER.
  Erreur : L'appel … DCLocator a ‚chou‚ avec l'erreur 1355. Tentative de
  liaison directe avec une chaŒne.
  tablissement de la connexion au serveur source WIN-2UMV47KSPER:389.
  Utilisation du fichier .\dam8.tmp comme magasin pour les r‚f‚rences de noms uniques
  report‚es.

  ……………………………

   Bonjour, 
  
  Dans tes logs tu as ce fichier comme magasin de références de noms uniques. As-tu essayé aussi de voir les fichiers cachés ?
  
  Cordialement, 
  
  Roxana

  ---

  Roxana Panait, MSFT

  lundi 28 septembre 2009 07:42
• 

  

  0

  Connectez-vous pour voter

  En fait ce n'était pas un problème de fichiers cachés mais simplement que je n'ai pas de dam8.tmp mais:
  
  dam11C.tmp, dam11E.tmp, damE5.tmp
  
  cedfb9e9b6e5bd4f89de9b81a28afcc2
  ipsecISAKMPReference
  05195bfb11a4c74593c1471f5c641db2

  cedfb9e9b6e5bd4f89de9b81a28afcc2
  ipsecNFAReference
  13179248cfd55f4697cb1aa782dc1c2e
  1f3dbebe3491af4688b170aae0091875
  1ff1e6dae1df5f4f975a0e36a87833cf

  05195bfb11a4c74593c1471f5c641db2
  ipsecOwnersReference
  cedfb9e9b6e5bd4f89de9b81a28afcc2

  1ff1e6dae1df5f4f975a0e36a87833cf
  ipsecOwnersReference
  cedfb9e9b6e5bd4f89de9b81a28afcc2

  1ff1e6dae1df5f4f975a0e36a87833cf
  ipsecNegotiationPolicyReference
  15c9d4a7e171b448b09dda32ddb1ef31

  1ff1e6dae1df5f4f975a0e36a87833cf
  ipsecFilterReference
  32d065f3277dc545a503bb895e4fbc65

  1f3dbebe3491af4688b170aae0091875
  ipsecOwnersReference
  cedfb9e9b6e5bd4f89de9b81a28afcc2

  1f3dbebe3491af4688b170aae0091875
  ipsecNegotiationPolicyReference
  1f352490229b5247b540570887485e85

  13179248cfd55f4697cb1aa782dc1c2e
  ipsecOwnersReference
  cedfb9e9b6e5bd4f89de9b81a28afcc2

  13179248cfd55f4697cb1aa782dc1c2e
  ipsecNegotiationPolicyReference
  65792efb4194b146a4f1f6aa4c6d1f66

  13179248cfd55f4697cb1aa782dc1c2e
  ipsecFilterReference
  1555a3646c02cc4da324c301683d399f

  975a926c5b2a99449cb8b9c87e1d8d95
  ipsecISAKMPReference
  0e109e6d6a41294db75011e821dc1fd6

  975a926c5b2a99449cb8b9c87e1d8d95
  ipsecNFAReference
  dd4f68988d607a4fbcaf4e892cfb29d0

  0e109e6d6a41294db75011e821dc1fd6
  ipsecOwnersReference
  975a926c5b2a99449cb8b9c87e1d8d95

  dd4f68988d607a4fbcaf4e892cfb29d0
  ipsecOwnersReference
  975a926c5b2a99449cb8b9c87e1d8d95

  dd4f68988d607a4fbcaf4e892cfb29d0
  ipsecNegotiationPolicyReference
  f93470fc91070a4995bf4eac0c393dca

  01afb0355afef04c8600f7307a3d77ef
  ipsecISAKMPReference
  0b44f4ba8bab15428c167547f769389f

  01afb0355afef04c8600f7307a3d77ef
  ipsecNFAReference
  7cfd1c8d77be594d8e7fa9cd3a71636b
  180db2a591ea2546ab95aba01663d56a
  7bb65c799b3f0449a8b2887e6d28d6ce

  0b44f4ba8bab15428c167547f769389f
  ipsecOwnersReference
  01afb0355afef04c8600f7307a3d77ef

  7bb65c799b3f0449a8b2887e6d28d6ce
  ipsecOwnersReference
  01afb0355afef04c8600f7307a3d77ef

  7bb65c799b3f0449a8b2887e6d28d6ce
  ipsecNegotiationPolicyReference
  30678f616dae67469286ead4cb6eab12

  7bb65c799b3f0449a8b2887e6d28d6ce
  ipsecFilterReference
  32d065f3277dc545a503bb895e4fbc65

  180db2a591ea2546ab95aba01663d56a
  ipsecOwnersReference
  01afb0355afef04c8600f7307a3d77ef

  180db2a591ea2546ab95aba01663d56a
  ipsecNegotiationPolicyReference
  6c7f84ea80e5e74aaee82819f3a1a357

  7cfd1c8d77be594d8e7fa9cd3a71636b
  ipsecOwnersReference
  01afb0355afef04c8600f7307a3d77ef

  7cfd1c8d77be594d8e7fa9cd3a71636b
  ipsecNegotiationPolicyReference
  65792efb4194b146a4f1f6aa4c6d1f66

  7cfd1c8d77be594d8e7fa9cd3a71636b
  ipsecFilterReference
  1555a3646c02cc4da324c301683d399f

  1f352490229b5247b540570887485e85
  ipsecOwnersReference
  1f3dbebe3491af4688b170aae0091875

  6c7f84ea80e5e74aaee82819f3a1a357
  ipsecOwnersReference
  180db2a591ea2546ab95aba01663d56a

  f93470fc91070a4995bf4eac0c393dca
  ipsecOwnersReference
  dd4f68988d607a4fbcaf4e892cfb29d0

  15c9d4a7e171b448b09dda32ddb1ef31
  ipsecOwnersReference
  1ff1e6dae1df5f4f975a0e36a87833cf

  30678f616dae67469286ead4cb6eab12
  ipsecOwnersReference
  7bb65c799b3f0449a8b2887e6d28d6ce

  65792efb4194b146a4f1f6aa4c6d1f66
  ipsecOwnersReference
  13179248cfd55f4697cb1aa782dc1c2e
  7cfd1c8d77be594d8e7fa9cd3a71636b

  32d065f3277dc545a503bb895e4fbc65
  ipsecOwnersReference
  1ff1e6dae1df5f4f975a0e36a87833cf
  7bb65c799b3f0449a8b2887e6d28d6ce

  1555a3646c02cc4da324c301683d399f
  ipsecOwnersReference
  13179248cfd55f4697cb1aa782dc1c2e
  7cfd1c8d77be594d8e7fa9cd3a71636b

  Cordialement,
  

  lundi 28 septembre 2009 08:35
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Un exemple sur comment importer  dans ADAM les changements du fichier .ldf :

  ldifde -i -u -f SchemaChanges.ldf -s server:port -b username domain password -j

  . -c "cn=Configuration,dc=X" #configurationNamingContext

  Ou si vous avez une session ouverte en tant qu’administrateur :

   

   

  >ldifde -i -u -f SchemaChanges.ldf -s localhost:389 -c "cn=Conf

  iguration,dc=X" #configurationNamingContext

  Connecting to "localhost:389"

  Logging in as current user using SSPI

  Importing directory from file "SchemaChanges.ldf"

  Loading entries.................................................................

  ................................................................................

  ...........

  …x entries modified successfully.

  The command has completed successfully

  Vérifiez que votre compte administrateur soit membre de « Enterprise Admins » et « Schema Admins ». Essayez aussi avec le pare feu desactive.

  Cordialement

   

  ---

  Roxana Panait, MSFT

  lundi 28 septembre 2009 11:02
• 

  

  0

  Connectez-vous pour voter

  Merci pour la commande ^^
  
  Une fois que vous l'avez exécutée, voyez vous vos groupes et utilisateurs nouvellement importés?
  

  • Modifié GCha lundi 28 septembre 2009 11:52 ortho

  lundi 28 septembre 2009 11:43
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  ·         Après ces commandes :

  ldifde -i -u -f SchemaChanges.ldf -s server:port -b username domain password -j

  . -c "cn=Configuration,dc=X" #configurationNamingContext

  ou

   

   

  >ldifde -i -u -f SchemaChanges.ldf -s localhost:389 -c "cn=Conf

  iguration,dc=X" #configurationNamingContext

  Connecting to "localhost:389"

  Logging in as current user using SSPI

  Importing directory from file "SchemaChanges.ldf"

  Loading entries.................................................................

  ................................................................................

  ...........

  …x entries modified successfully.

  The command has completed successfully

  ·         J’ai utilisé AdamsyncMetadata.ldf :

  C:\WINDOWS\ADAM>ldifde -i -f MS-AdamSyncMetadata.LDF -s localhost:389 -c

  "cn=Cofiguration,dc=X" #configurationNamingContext

  Connecting to "localhost:389"

  Logging in as current user using SSPI

  Importing directory from file "MS-AdamSyncMetadata.LDF"

   

  ·         Ensuite, j’ai créé le fichier de configuration c:\WINDOWS\ADAM folder – Ms-AdamsyncConf.XML que j’ai édité:

  <?xml version="1.0"?>

  <doc>

  <configuration>

  <description>config file for app1</description>

  <security-mode>object</security-mode>

  <source-ad-name>domainname.com</source-ad-name>

  <source-ad-partition>dc=domainname,dc=com</source-ad-partition>

  <source-ad-account></source-ad-account>

  <account-domain></account-domain>

  <target-dn>dc=app1</target-dn>

  <query>

  <base-dn>ou=employees,dc=domainname,dc=com</base-dn>

  <object-filter>(objectCategory=*)</object-filter>

  <attributes>

  <include></include>

  <exclude>extensionName</exclude>

  <exclude>flags</exclude>

  <exclude>isPrivelegeHolder</exclude>

  <exclude>msCom-UserLink</exclude>

  <exclude>msCom-PartitionSetLink</exclude>

  .........
  </attributes>

  </query>

  <schedule>

  <aging>

  <frequency>0</frequency>

  <num-objects>0</num-objects>

  </aging>

  <schtasks-cmd></schtasks-cmd>

  </schedule>

  </configuration>

  <synchronizer-state>

  <dirsync-cookie></dirsync-cookie>

  <status></status>

  <authoritative-adam-instance></authoritative-adam-instance>

  <configuration-file-guid></configuration-file-guid>

  <last-sync-attempt-time></last-sync-attempt-time>

  <last-sync-success-time></last-sync-success-time>

  <last-sync-error-time></last-sync-error-time>

  <last-sync-error-string></last-sync-error-string>

  <consecutive-sync-failures></consecutive-sync-failures>

  <user-credentials></user-credentials>

  <runs-since-last-object-update></runs-since-last-object-update>

  <runs-since-last-full-sync></runs-since-last-full-sync>

  </synchronizer-state>

  </doc>

  ·         J’ai installé le fichier de  configuration:

  C:\WINDOWS\ADAM>adamsync /i localhost:389 app1.XML /log –

  Si je veux voir le fichier de configuration: C:\WINDOWS\ADAM>adamsync /l localhost:389

  Ou bien l’état :

  adamsync /cs localhost:389 /log –

  ou bien

  adamsync /sync localhost:389 dc=app1 /ldifin ldif.txt /log c:\logs\synclog.txt

  J’ai pris les objets de DC  (dirsync/LDAP query) :

  baseDN (string) e.g dc=domainname,dc=com

  filter (string) e.g. (objectClass = *)

  Scope (Base, onelevel,subtree)

  attributes (vector)

  controls (LDAPControl which consists of IOD etc)

  Flags (dword)

   

  Plus sur Dirsync : http://msdn.microsoft.com/en-us/library/aa366978(VS.85).aspx et sur LDAP : http://msdn.microsoft.com/en-us/library/aa366123(VS.85).aspx

  Apres avoir établi ce que je veux synchroniser ou non, si je crée quelque chose d’autre dans mon AD je peux exécuter :

  adamsync /sync localhost:389 dc=app1 /log c:\logs\synclog4.txt

  Ensuite je compare mes objets AD avec ce que j’ai syncronisé avec adamsync.

   

   

  Pour l’erreur listée dans ton log : « Error: DCLocator call failed with error 1355. Attempting to bind directly to

  string.”  le localisateur de DC attend un nom de domaine en tant que paramètre. Donc essaye d’utiliser le FQDN du domaine.

  Tu peux consulter pour cet erreur: http://forums.techarena.in/active-directory/89421.htm  ou http://www.servernewsgroups.net/group/microsoft.public.windows.server.active_directory/topic4404.aspx http://www.winserverkb.com/Uwe/Forum.aspx/windows-server-ad/8294/ADAM-Synchronizer-Beta-question

  http://office-outlook.com/outlook-forum/index.php/m/574259/#msg_574259

  http://forums.techarena.in/active-directory/64934.htm

   

  Tu peux aussi consulter pour référence sur Adamsync : http://blogs.technet.com/efleis/archive/tags/ADAMSync/default.aspx

  Sinon, tu peux consulter le support Microsoft : https://support.microsoft.com/oas/default.aspx?Gprid=3198&st=1

   

  Cordialement

  Roxana

  ---

  Roxana Panait, MSFT

  • Marqué comme réponse GCha mardi 29 septembre 2009 07:02

  mardi 29 septembre 2009 05:27
• 

  

  0

  Connectez-vous pour voter

  Bonjour,
  
  Merci beaucoup, en regardant votre xml, j'ai remarqué que vous spécifiiez l'OU à prendre en compte et j'ai donc modifié mon XML en conséquence:
  
  <target-dn>o=Micro,c=FR</target-dn>  
    <query>   
     <base-dn>ou=people,dc=Vanilla,dc=com</base-dn>
     <object-filter>(objectClass=*)</object-filter>
  
  Le peuplement se passe bien pour mon OU=PEOPLE.     MERCI BEAUCOUP
  
  
  -->A présent, je voudrais savoir comment faire pour importer toutes mes OU? j'ai testé en mettant mes OU les unes à la suite des autres comme ci-dessous
  
  <base-dn>ou=collab,ou=people,dc=Vanilla,dc=com</base-dn>
  
  mais cela me vide ma base ADAM
  
  j'ai testé également en mettant *
  
  <base-dn>ou=*,dc=Vanilla,dc=com</base-dn>
  
  et pareil aucun peuplement.
  
  
  

  • Modifié GCha mercredi 30 septembre 2009 14:17 ortho

  mercredi 30 septembre 2009 14:16
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  La virgule doit convenir :

  http://support.microsoft.com/kb/926933

  source-ad-name>03child.MyDomCon.net</source-ad-name>                 

    <source-ad-partition>dc=03child,dc=MyDomCon,dc=net</source-ad-partition>

    <source-ad-account></source-ad-account>               

    <account-domain></account-domain>

    <target-dn>DistinguishedNameOfADAMpartition</target-dn>                               

    <query>                                              

     <base-dn>OU=Grandchild,OU=Child,DC=03child,DC=MyDomCon,DC=net</base-dn>

  Voir aussi :

  http://www.eggheadcafe.com/conversation.aspx?messageid=30427040&threadid=30426869

  http://www.eggheadcafe.com/conversation.aspx?messageid=30559610&threadid=30426869

  http://blogs.technet.com/efleis/archive/2005/09/15/synchronizing-only-the-attributes-you-really-want.aspx  

   

  Cordialement

  ---

  Roxana Panait, MSFT

  mercredi 30 septembre 2009 14:38