1- Mes postes Windows 2000/XP figent pendant 30 minutes au niveau « application des paramètres utilisateurs »

Variante :

  •  Les postes figent depuis que les profils utilisateurs sont itinérants
  •  Les postes figent et les GPO ne s'appliquent pas

Vous avez probablement un problème de DNS, vérifiez que les postes clients pointent sur le DNS de l'AD et non sur celui du provider Internet ou sur le Bind central qui n'a pas été préparé pour l'AD mais qui a fonctionne bien.
Seuls un DNS Bind dynamique et où sont disponibles les zones spécifiques AD ou plus simplement un DNS Microsoft à partir de 2000 peuvent faire l'affaire.


2- J'ai 2 (ou plus) contrôleurs de domaine. L'un d'entre eux est tombé et je l'ai réinstallé ''from scratch'' mais avec le même nom et la même adresse IP, depuis j'ai une pluie d'évènements dans l'observateur, et la réplication n'a pas l'air de fonctionner.

L'AD référence encore l'ancien DC, que le nouveau ait le même nom importe peu puisque son Id est différent. Afin de corriger ce problème, suivez les procédures suivantes :

  • Formatez le serveur réinstallé ''from scratch'', il n'est d'aucune utilité
  • Passez le contrôleur restant en catalogue global
  • Récupérez (ci ça n'est pas déjà fait) les rôles FSMO sur le contrôleur restant . Lien
  • Nettoyez la base des méta données concernant le serveur en panne. Lien 
  • Remontez le serveur tombé


3- Les paramètres ''configuration utilisateur'' de ma GPO ne s'applique pas sur une OU ne contenant que des comptes ordinateurs.

C'est normal et ''by design', pour forcer des gpo utilisateurs sur une OU ne contenant que des ordinateurs :

Sur la GPO en question, activez en mode ''remplacer'' le paramètre ''Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur'' situé dans Configuration ordinateur > Modèles d'administration > Système > Stratégie de groupe.
Sous son nom barbare, ce paramètre permet d'appliquer des GPO utilisateurs sur des ordinateurs (exemple typique : serveur kiosque)



4- Je dispose d'un domaine sous Windows 2000 et désire migrer mon DC vers 2003 pour obtenir les fonctions du nouvel Active Directory, comment faire ?

Pour commencer, jouez la sécurité si ça n'est pas déjà fait et montez un second contrôleur de domaine, éventuellement si le premier était aussi DNS, montez en un autre sur le second et renvoyez les clients sur lui (pour éviter tout interruption de service). Pensez aussi à rendre ce contrôleur ''catalogue global'' pour éviter les problèmes d'objets fantômes.

Une fois tout cela fait, suivez la procédure suivante sur le premier DC, ou éventuellement celle là 



5- Je dispose de deux serveurs DNS Bind institutionnels, du serveur DNS de mon provider et du DNS de mon contrôleur de domaine, j'ai 10 clients qui vont devoir joindre l'AD, qui pointe où ?

Afin de suivre les best practices de Microsoft :

  • Les clients AD pointent sur le DNS Windows
  • Le DC pointe sur le DNS Windows
  • Le DNS Windows pointe sur lui-même
  • Le DNS Windows a le/les serveur(s) Bind comme redirecteurs
  • Les DNS Bind ont le DNS du provider comme redirecteurs



6- J'ai un domaine sur 2 (ou plus) sites distants. J'ai mis en place un script au logon des utilisateurs, et des redirections de dossier pour le bureau des utilisateurs. Ces paramètres fonctionnent en local mais ne marche pourtant pas sur tous les sites. Pourquoi ?

Les sites sur lesquels les GPO ne s'appliquent pas ou qu'en parti sont probablement détectés comme étant reliés par une liaison réseau lente, le mécanisme est expliqué en détail ici

Pour désactiver la vérification des connexions lentes, activer la GPO "ne pas détecter les connexions lentes" dans Configuration Ordinateur > Modèles d'administration > Système > Profiles utilisateurs.

Vous y trouverez aussi des GPO permettant de définir les paliers avant refus d'application pour les paramètres suivants :

  • Déploiement d'applications
  • Scripts
  • Redirection de dossiers
  • Quotas disque



7- Je dois monter un domaine. Seuls 10 stations de travail vont en faire partie. Je suppose qu'un seul DC suffit?

Pour qu'un domaine soit fiable, il vous faut impérativement au moins 2 contrôleurs de domaine (certains dont moi diront en fait au moins 3).
Outre les optimisation des traitements clients, il faut surtout ne pas oublier qu'en cas de crash, si vous ne disposez que d'un seul DC et que votre sauvegarde ne fonctionne pas, le domaine et ses ressources sont irrémédiablement perdus, même si vous réinstallez le DC avec le même nom et la même IP (ce qu'il ne faudra jamais faire).

Note : Dans le cas d'un domaine multi-sites, il est très appréciable d'avoir au moins un DC, idéalement aussi GC par site, afin d'éviter une utilisation trop lourde de la bande passante inter site et les effets de bords de la détection de connexion réseau lente.



8- J'administre un domaine réparti sur 5 sites, en quoi l'utilisation des sites et services Active Directory est elle nécessaire ?

Afin d'optimiser au mieux le trafic entre les clients et le DC de chaque site, mais aussi l'application des GPO, voir le fonctionnement global du domaine dans le cas ou l'accès inter site est filtré par un firewall, il est nécessaire de paramétrer les sites et services. Parmis les taches en créant un site pour chaque site physique, en attachant des subnets à chacun d'entre eux. Il vous faudra éventuellement aussi spécifier les serveurs tête de pont (ce qui dirigent la réplication inter sites pour les DC du site) et enfin spécifier les DC qui seront catalogues globaux.


9- Il me reste des clients 98 et NT4, vont-ils pouvoir se connecter à mon domaine 2000/2003 ?

Ces clients cherchent uniquement à communiquer avec un PDC, si celui-ci est sur le même site qu'eux, il n'y a pas de problèmes. Pour éviter les message du type ''un contrôleur n'a pas été trouvé pour se domaine'' assurez vous d'avoir un serveur WINS vers lequel pointent clients et serveurs.

Il est aussi possible d'utiliser un fichier lmhosts dans lequel seront fournis les informations de domaine mais l'utilisation d'un fichier pour X centaines de postes concernés ne paraît pas forcément être la solution adéquate.

A noter qu'il existe un outil d'extensions pour ces postes.
Ce ''client AD'' permet :

  • Site awareness : permet de s'authentifier auprès du contrôleur le plus proche du client et non sur le PDC Emulator. Attention, ceci n'est pas un palliatif pour le changement de mots de passe, celui-ci sera toujours exécuté vers le PDCE
  • ADSI : permet le scripting vers l'AD
  • Client DFS : permet l'accès aux partages DFS à tolérance de panne
  • Authentification NTLM v2 : permet au client de s'authentifier à l'aide du protocole NTLM v2, plus robuste que le protocole standard
  • Pages de propriétés WAB : permet aux utilisateurs qui en ont le droit de modifier des propriétés des objets utilisateurs (ex : téléphone, adresse.) par l'intermédiaire du menu ''rechercher.des personnes''

Note : pour NT4, les pré-requis suivants sont nécessaires :

  • Service Pack 6a
  • IE 5.5 pour la France ou IE 4.01 pour le reste du monde du fait des problèmes de cryptage 128 Bits des versions antérieurs d'IE sur le marché français.



10- J'ai perdu les enregistrements DNS de mes DC et les zones spécifiques (_msdcs, _tcp .) que faire pour les récupérer ?

- Pour les enregistrements A et ptr : ipconfig /registerdns
- Pour les zones spéciales et les enregistrements SRV: après avoir installé les outils de support ''netdiag /fix''. Faites ensuite un ''net stop netlogon'' suivi d'un ''net start netlogon''

Pour plus d'informations : http://support.microsoft.com/?kbid=260371


11- Je gère une forêt avec de multiples relation d'approbation externe. Certaines tâches quasi instantannées avant, comme un gpresult, un subinacl ou même l'accès au panneau de configuration sur certains postes prends des heures. Que faire pour retrouver un comportement normal?

Avez vous pensé à modifier le comportement de la résolution des "noms isolés"? Par défaut dans Windows 2000 et 2003, lorsque des fonctions du type LookupAccountName ou LsaLookupName résolvent des noms isolés (ambigüe par définition, car son domaine n'est pas connu), un appel de procédure distante est faite sur les DC de chaque domaine approuvé. Dans ce cas particulier, les performances peuvent s'écrouler si le nombre de domaines est conséquent.

Il est donc administrativement possible de refuser la résolution sur les domaines approuvés en modifiant la valeur suivante sur tous les DC concernés. A noter qu'un redémarrage n'est absoluement pas nécessaire, et que la valeur est prise en compte immédiatement :

Valeur : LsaLookupRestrictIsolatedNameLevel
Type : REG_DWORD
Donnée : 1
Chemin de la clé : HKLM\SYSTEM\CurrentControlSet\Control\LSA