Advanced AD DS Management Using Active Directory Administrative Center (Level 200)

Cet article décrit la mise à jour du Centre d’administration Active Directory avec la nouvelle Corbeille Active Directory, la stratégie de mot de passe affinée ainsi que la Visionneuse de l’historique Windows PowerShell. Elle aborde notamment l’architecture, des exemples de tâches courantes et les informations de résolution des problèmes. Vous pouvez commencer par l'Introduction aux améliorations du Centre d'administration Active Directory (niveau 100).

Architecture du Centre d'administration Active Directory

Exécutables du Centre d’administration Active Directory, DLL

Le module et l’architecture sous-jacente du Centre d’administration Active Directory n’ont pas changé avec les nouvelles fonctionnalités : la Corbeille, la stratégie de mot de passe affinée et la Visionneuse de l’historique.

• Microsoft.ActiveDirectory.Management.UI.dll
• Microsoft.ActiveDirectory.Management.UI.resources.dll
• Microsoft.ActiveDirectory.Management.dll
• Microsoft.ActiveDirectory.Management.resources.dll
• ActiveDirectoryPowerShellResources.dll

Windows PowerShell et la couche d'opérations sous-jacents de la nouvelle fonctionnalité de Corbeille sont illustrés ci-dessous :

Activation et gestion de la Corbeille Active Directory à l'aide du Centre d'administration Active Directory

Fonctionnalités

• Le Centre d’administration Active Directory Windows Server 2012 ou version ultérieure vous permet de configurer et de gérer la Corbeille Active Directory à partir de n’importe quelle partition de domaine d’une forêt. Vous n’avez plus besoin d’utiliser Windows PowerShell ni Ldp.exe pour activer la Corbeille Active Directory ou restaurer des objets dans des partitions de domaine.
• Le Centre d'administration Active Directory dispose de critères de filtrage avancés, ce qui facilite la restauration ciblée dans des environnements de grande taille comportant de nombreux objets supprimés de manière intentionnelle.

Limites

• Le Centre d’administration Active Directory ne peut pas restaurer des objets supprimés des partitions Configuration, DNS du domaine ou DNS de la forêt car il peut uniquement gérer des partitions de domaine (vous ne pouvez pas supprimer d’objets de la partition Schéma). Pour restaurer des objets de partitions n’appartenant pas au domaine, utilisez Restore-ADObject.

• Le Centre d’administration Active Directory ne peut pas restaurer des sous-arbres d’objets en une seule action. Par exemple, si vous supprimez une unité d’organisation comportant des unités d’organisation imbriquées, des utilisateurs, des groupes et des ordinateurs, la restauration de l’unité d’organisation de base ne restaure pas les objets enfants.

  Remarque

  L’opération de restauration par lot du Centre d’administration Active Directory produit un « meilleur » tri des objets supprimés au sein de la sélection uniquement, les parents sont donc classés avant les enfants pour la liste de restauration. Dans des cas de test simples, vous pouvez restaurer les sous-arbres d'objets en une seule action. Mais les cas particuliers, comme une sélection contenant des arbres partiels (arbres avec certains nœuds parents manquants) ou les cas d’erreurs, comme le fait d’ignorer des objets enfants en cas d’échec de restauration du parent, peuvent fonctionner de manière inattendue. C'est pourquoi vous devez toujours restaurer les sous-arbres des objets au cours d'une action distincte, une fois les objets parents restaurés.

La Corbeille Active Directory nécessite un niveau fonctionnel de forêt Windows Server 2008 R2 et vous devez être membre du groupe Administrateurs d’entreprise. Une fois activée, vous ne pouvez pas désactiver la Corbeille Active Directory. Celle-ci augmente la taille de la base de données Active Directory (NTDS.DIT) sur chaque contrôleur de domaine de la forêt. L'espace disque utilisé par la Corbeille continue d'augmenter au fil du temps car les objets et toutes leurs données d'attributs sont conservés.

Activation de la Corbeille Active Directory à l'aide du Centre d'administration Active Directory

Pour activer la Corbeille Active Directory, ouvrez le Centre d’administration Active Directory , puis sélectionnez le nom de votre forêt dans le volet de navigation. Dans le volet Tâches , sélectionnez Activer la Corbeille.

Le Centre d'administration Active Directory montre la boîte de dialogue Activer la confirmation de la Corbeille. Cette boîte de dialogue vous avertit que l'activation de la Corbeille est irréversible. Sélectionnez OK pour activer la Corbeille Active Directory. Le Centre d’administration Active Directory montre une autre boîte de dialogue vous rappelant que la Corbeille Active Directory n’est pas entièrement fonctionnelle jusqu’à ce que tous les contrôleurs de domaine répliquent le changement de configuration.

L’applet de commande Active Directory pour Windows PowerShell équivalente est :

Enable-ADOptionalFeature

Pour plus d’informations sur l’utilisation de Windows PowerShell pour activer la Corbeille Active Directory, voir le Guide pas à pas de la Corbeille Active Directory.

Gestion de la Corbeille Active Directory à l'aide du Centre d'administration Active Directory

Cette section utilise l’exemple d’un domaine existant nommé corp.contoso.com. Ce domaine organise les utilisateurs en une unité d'organisation parente appelée UserAccounts. L’UO UserAccounts contient trois UO enfants nommées par département, qui contiennent chacune d’autres UO, utilisateurs et groupes.

Stockage et filtrage

La Corbeille Active Directory conserve tous les objets supprimés de la forêt. Elle enregistre ces objets selon l'attribut msDS-deletedObjectLifetime, qui est défini par défaut pour correspondre à l'attribut tombstoneLifetime de la forêt. Dans toute forêt créée à l'aide de Windows Server 2003 SP1 ou version ultérieure, l'attribut tombstoneLifetime a la valeur 180 jours par défaut. Dans toute forêt mise à niveau à partir de Windows 2000 ou installée avec Windows Server 2003 (sans Service Pack), l'attribut tombstoneLifetime par défaut N'EST PAS DÉFINI et Windows utilise la valeur interne par défaut de 60 jours. Tout ceci est configurable. Vous pouvez configurer tous ces éléments et utiliser le Centre d’administration Active Directory pour restaurer les objets supprimés des partitions de domaine de la forêt. Vous devez continuer à utiliser le cmdlet Restore-ADObject pour restaurer des objets supprimés d’autres partitions, telles que Configuration. L’activation de la corbeille Active Directory rend le conteneur Objets supprimés visible sous chaque partition de domaine dans le Centre d’administration Active Directory.

Le conteneur Objets supprimés affiche tous les objets qui peuvent être restaurés dans cette partition de domaine. Les objets supprimés antérieurs à msDS-deletedObjectLifetime sont réputés comme étant des objets recyclés. Le Centre d’administration Active Directory n’affiche pas d’objets recyclés et vous ne pouvez pas restaurer ces objets à l’aide du Centre d’administration Active Directory.

Pour une explication plus détaillée sur l’architecture et les règles de traitement de la Corbeille, voir Corbeille Active Directory : présentation, implémentation, recommandations et dépannage.

Le Centre d'administration Active Directory limite artificiellement le nombre d'objets par défaut renvoyés d'un conteneur à 20 000 objets. Vous pouvez augmenter cette limite à 100 000 objets en cliquant sur le menu Gérer, puis sur Options de la liste des gestionnaires.

Restauration

Filtrage

Le Centre d'administration Active Directory offre des options de filtrage et des critères puissants avec lesquels vous devez vous familiariser avant d'effectuer une restauration réelle. Les domaines suppriment intentionnellement de nombreux objets au cours de leur durée de vie. Avec une durée de vie probable des objets supprimés de 180 jours, vous ne pouvez pas restaurer tous les objets en cas d’accident.

Au lieu d'écrire des filtres LDAP complexes et de convertir des valeurs UTC en dates et heures, utilisez le menu Filtre de base et avancé pour répertorier uniquement les objets pertinents. Si vous connaissez le jour de suppression, le nom des objets ou toute autre donnée essentielle, vous pouvez affiner votre filtrage en les utilisant. Affichez ou masquez les options de filtre avancées en cliquant sur le chevron à droite de la zone de recherche.

L'opération de restauration prend en charge toutes les options de critères de filtre standard, les mêmes que les autres recherches. Parmi les filtres intégrés, les plus importants pour restaurer des objets sont généralement :

• Résolution de noms ANR (Ambiguous Name Resolution) : non répertoriée dans le menu, mais ce qui est utilisé quand vous tapez dans la zoneFiltre)
• Dernière modification entre des dates données
• Objet, à savoir utilisateur/inetOrgPerson/ordinateur/groupe/unité d'organisation
• Nom
• Quand supprimé
• Dernier parent connu
• Type
• Description
• Ville
• Pays/région
• Service
• ID d’employé
• Prénom
• Fonction
• Nom
• SAM accountname
• État/province
• Numéro de téléphone
• UPN
• Code postal

Vous pouvez ajouter plusieurs critères. Par exemple, vous pouvez rechercher tous les objets utilisateurs supprimés le 24 septembre 2012 de Chicago dans l’Illinois dont la fonction est « Manager ».

Vous pouvez également ajouter, modifier ou réorganiser les en-têtes de colonne pour fournir plus de détails quand vous analysez les objets à récupérer.

Pour plus d’informations sur la résolution de noms ambigus (ANR), veuillez consulter la section Attributs ANR.

Objet unique

La restauration d'objets supprimés s'est toujours déroulée en une seule opération. Le Centre d'administration Active Directory facilite cette opération. Pour restaurer un objet supprimé, tel qu'un utilisateur unique :

1. Sélectionnez le nom de domaine dans le volet de navigation du Centre d’administration Active Directory.
2. Double-cliquez sur Objets supprimés dans la liste de gestion.
3. Faites un clic droit sur l’objet, puis sélectionnez Restaurer, ou sélectionnez Restaurer dans le volet Tâches.

L'objet est restauré à son emplacement d'origine.

Sélectionnez Restaurer vers... pour modifier l’emplacement de restauration. Cela est utile si le conteneur parent de l’objet supprimé a également été supprimé, mais que vous ne souhaitez pas restaurer le parent.

Plusieurs objets homologues

Vous pouvez restaurer plusieurs objets de même niveau, tels que tous les utilisateurs d'une unité d'organisation. Maintenez la touche CTRL enfoncée et sélectionnez un ou plusieurs objets supprimés que vous souhaitez restaurer. Sélectionnez Restaurer dans le volet Tâches. Vous pouvez également sélectionner tous les objets affichés en maintenant les touches CTRL et A enfoncées, ou une plage d'objets à l'aide de la touche Maj et en cliquant.

Plusieurs objets parents et enfants

Il est essentiel de comprendre le processus de restauration dans le cas d’une restauration impliquant plusieurs parents-enfants car le Centre d’administration Active Directory ne peut pas restaurer un arbre imbriqué d’objets supprimés en une seule action.

1. Restaurez l'objet supprimé en premier dans un arbre.
2. Restaurez les enfants immédiats de cet objet parent.
3. Restaurez les enfants immédiats de ces objets parents.
4. Répétez cette opération autant de fois que nécessaire jusqu'à ce que tous les objets soient restaurés.

Vous ne pouvez pas restaurer un objet enfant avant de restaurer son parent. La tentative de restauration renvoie l'erreur suivante :

The operation could not be performed because the object's parent is either uninstantiated or deleted.

L'attribut Dernier parent connu montre la relation parent de chaque objet. L'attribut Dernier parent connu passe de l'emplacement supprimé à l'emplacement restauré quand vous actualisez le Centre d'administration Active Directory après la restauration d'un parent. Vous pouvez donc restaurer cet objet enfant quand l’emplacement d’un objet parent n’affiche plus le nom unique du conteneur d’objets supprimés.

Envisagez le scénario dans lequel un administrateur supprime accidentellement l'unité d'organisation Ventes, qui contient les unités d'organisation enfants et utilisateurs.

Observez d’abord la valeur de l’attribut Dernier parent connu pour tous les utilisateurs supprimés et la manière dont OU=Sales\0ADEL:<guid+deleted objects container distinguished name> est lu :

Filtrez sur le nom ambigu Ventes pour renvoyer l'unité d'organisation supprimée, que vous restaurez ensuite :

Actualisez le Centre d’administration Active Directory pour voir la modification de l’attribut Dernier parent connu de l’objet utilisateur supprimé en nom unique de l’unité d’organisation restaurée Ventes :

Filtrez sur tous les utilisateurs Ventes. Maintenez les touches CTRL + A enfoncées pour sélectionner tous les utilisateurs Ventes supprimés. Sélectionnez Restaurer pour déplacer les objets du conteneur Objets supprimés vers l’UO Sales en conservant leurs appartenances aux groupes et attributs intacts.

Si l'unité d'organisation Ventes contenait des unités d'organisation enfants en propre, vous pouvez commencer par restaurer les unités d'organisation enfants avant de restaurer leurs enfants, et ainsi de suite.

Pour restaurer tous les objets supprimés imbriqués en spécifiant un conteneur parent supprimé, voir Annexe B : Restaurer plusieurs objets Active Directory supprimés (exemple de script).

L'applet de commande Active Directory pour Windows PowerShell qui permet de restaurer les objets supprimés est la suivante :

Restore-ADObject

La fonctionnalité cmdlet Restore-ADObject n’a pas changé entre Windows Server 2008 R2 et Windows Server 2012.

Filtrage côté serveur

Au fil du temps, le conteneur Objets supprimés peut cumuler plus de 20 000 (ou même 100 000) objets dans les moyennes ou grandes entreprises et rencontre des difficultés pour les afficher tous. Le mécanisme de filtre du Centre d’administration Active Directory repose sur un filtrage côté client, il ne peut donc pas afficher ces objets supplémentaires. Pour contourner cette limitation, utilisez les étapes suivantes pour effectuer une recherche côté serveur :

1. Faites un clic droit sur le conteneur Objets supprimés et sélectionnez Rechercher sous ce nœud.
2. Sélectionnez le chevron pour exposer le menu +Ajouter des critères, sélectionnez +Ajouter et ajoutez Dernière modification entre des dates données. L’heure de la dernière modification (l’attribut whenChanged) est une approximation proche de l’heure de suppression; dans la plupart des environnements, elles sont identiques. Cette requête effectue une recherche côté serveur.
3. Identifiez les objets supprimés à restaurer à l'aide de filtres d'affichage supplémentaires et de tri avancé des résultats, puis restaurez-les normalement.

Configuration et gestion des stratégies de mot de passe affinées à l'aide du Centre d'administration Active Directory

Configuration des stratégies de mot de passe affinées

Le Centre d'administration Active Directory vous permet de créer et de gérer des objets de stratégie de mot de passe affinée. Windows Server 2008 a introduit la fonctionnalité de stratégies de mot de passe affinées mais dans Windows Server 2012, c'est la première fois qu'elle est dotée d'une interface de gestion graphique. Vous appliquez des stratégies de mot de passe affinées au niveau du domaine, ce qui permet la substitution du mot de passe de domaine unique nécessaire à Windows Server 2003. En créant différentes stratégies de mot de passe affinées avec différents paramètres, les utilisateurs individuels ou les groupes obtiennent des stratégies de mot de passe différentes dans un domaine.

Pour plus d’informations sur la stratégie de mot de passe affinée, voir Guide pas à pas relatif à la configuration des stratégies de verrouillage de compte et de mot de passe affinées (Windows Server 2008 R2).

Dans le volet de navigation, sélectionnez Affichage en arborescence, sélectionnez votre domaine, sélectionnez Système, sélectionnez Conteneur des paramètres de mot de passe, dans le volet Tâches, sélectionnez Nouveau, puis sélectionnez Paramètres de mot de passe.

Gestion des stratégies de mot de passe affinées

La création d'une stratégie de mot de passe affinée ou la modification d'une stratégie existante permet d'afficher l'éditeur Paramètres de mot de passe. À partir d'ici, vous configurez toutes les stratégies de mot de passe souhaitées, comme dans Windows Server 2008 ou Windows Server 2008 R2, à ceci près que vous disposez désormais d'un éditeur spécifique intégré.

Remplissez tous les champs obligatoires (astérisque rouge) et tous les champs facultatifs, puis sélectionnez Ajouter pour définir les utilisateurs ou les groupes qui recevront cette politique. La stratégie de mot de passe affinée substitue les paramètres de la stratégie de domaine par défaut pour les principaux de sécurité spécifiés. Dans la figure ci-dessus, une politique restrictive s’applique uniquement au compte Administrateur intégré, afin d’éviter toute compromission. La stratégie est bien trop complexe pour des utilisateurs standard, mais elle est adaptée dans le cas d'un compte à haut risque, uniquement utilisé par les professionnels de l'informatique.

Vous définissez également la priorité et les utilisateurs et groupes auxquels la stratégie s'applique dans un domaine donné.

Les applets de commande Active Directory pour Windows PowerShell relatives à la stratégie de mot de passe affinée sont :

Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
New-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Set-ADFineGrainedPasswordPolicy

La fonctionnalité de cmdlet Fine-Grained Password Policy n’a pas changé entre Windows Server 2008 R2 et Windows Server 2012. Pour votre commodité, le diagramme suivant illustre les arguments associés pour les applets de commande :

Le Centre d'administration Active Directory vous permet également de rechercher l'ensemble des stratégies de mot de passe affinées appliqué à un utilisateur donné. Faites un clic droit sur un utilisateur et sélectionnez Afficher les paramètres de mot de passe résultants... pour ouvrir la page Paramètres de mot de passe qui s’applique à cet utilisateur via une attribution implicite ou explicite :

L'examen des Propriétés d'un utilisateur ou d'un groupe montre les Paramètres de mot de passe directement associés, qui sont les stratégies de mot de passe affinées explicitement affectées :

L’attribution FGPP implicite ne s’affiche pas ici; pour cela, vous devez utiliser l’option Afficher les paramètres de mot de passe résultants....

Utilisation de la Visionneuse de l'historique Windows PowerShell du Centre d'administration Active Directory

La gestion future de Windows est Windows PowerShell. En disposant des outils graphiques au-dessus d'une infrastructure d'automatisation des tâches, la gestion des systèmes distribués les plus complexes devient cohérente et efficace. Vous devez comprendre le fonctionnement de Windows PowerShell pour réaliser au mieux votre potentiel et optimiser vos investissements en matière d'informatique.

Le Centre d'administration Active Directory fournit désormais un historique complet de toutes les applets de commande Windows PowerShell qu'il exécute ainsi que leurs arguments et leurs valeurs. Vous pouvez copier l'historique de l'applet de commande à un autre emplacement pour l'étudier ou la modifier et la réutiliser. Vous pouvez créer des notes de tâche pour aider à isoler les résultats de vos commandes dans le Centre d’administration Active Directory via Windows PowerShell. Vous pouvez également filtrer l'historique pour trouver des points d'intérêt.

La Visionneuse de l'historique Windows PowerShell du Centre d'administration Active Directory vous permet d'apprendre en pratiquant.

Sélectionnez le chevron (flèche) pour afficher le Visualiseur d’historique de Windows PowerShell.

Créez ensuite un utilisateur ou modifiez l'appartenance à un groupe. La Visionneuse de l'historique se met à jour en permanence avec un affichage réduit de chaque applet de commande que le Centre d'administration Active Directory a exécuté avec les arguments spécifiés.

Développez chaque élément de ligne pertinent pour afficher les valeurs fournies aux arguments de l'applet de commande :

Sélectionnez le menu Commencer la tâche pour créer une note manuelle avant d’utiliser le Centre d’administration Active Directory pour créer, modifier ou supprimer un objet. Tapez ce que vous étiez en train de faire. Quand vous avez terminé la modification, sélectionnez Fin de tâche. La note de tâche regroupe toutes les actions effectuées dans une note réductible, explicative.

Par exemple, pour voir les commandes Windows PowerShell utilisées pour changer le mot de passe d’un utilisateur et supprimer cet utilisateur d’un groupe :

Sélectionner la case à cocher Afficher tout affiche également les cmdlets Windows PowerShell avec le verbe Get-* qui ne font que récupérer des données.

La Visionneuse de l'historique affiche les commandes littérales exécutées par le Centre d'administration Active Directory. Vous remarquerez peut-être que certaines applets de commande semblent s'exécuter inutilement. Par exemple, vous pouvez créer un utilisateur avec :

New-ADUser

La conception du Centre d'administration Active Directory a exigé une modularité et une utilisation du code minimales. Ainsi, plutôt qu'un ensemble de fonctions crée des utilisateurs et qu'un autre ensemble modifie des utilisateurs existants, il remplit chaque fonction séparément, puis les regroupe à l'aide des applets de commande. Gardez cela à l’esprit lorsque vous apprenez Active Directory Windows PowerShell. Vous pouvez également l'utiliser en tant technique d'apprentissage : en fait, Windows PowerShell permet d'accomplir facilement une tâche simple.

Gérez différents domaines dans le Centre d’administration Active Directory

Lorsque vous ouvrez le Centre d’administration Active Directory, le domaine auquel vous êtes actuellement connecté sur cet ordinateur (le domaine local) apparaît dans le volet de navigation du Centre d’administration Active Directory (le volet de gauche). En fonction des droits de votre jeu actuel d’informations d’identification d’ouverture de session, vous pouvez afficher ou gérer les objets Active Directory contenus dans ce domaine local.

Vous pouvez également utiliser le même ensemble d'identifiants de connexion et la même instance du Centre d’administration Active Directory pour afficher ou gérer des objets Active Directory dans n’importe quel autre domaine de la même forêt, ou dans un domaine d’une autre forêt qui a établi une relation de confiance avec le domaine local. Les approbations à sens unique et bidirectionnelles sont prises en charge. Aucune appartenance à un groupe minimum n’est requise pour réaliser cette procédure.

Windows Server 2012 : Pour gérer un domaine étranger dans l’instance sélectionnée du Centre d’administration Active Directory à l’aide de l’ensemble actuel d’informations d’identification

1. Pour ouvrir le Centre d’administration Active Directory, dans Gestionnaire de serveur, sélectionnez Outils, puis sélectionnez Centre d’administration Active Directory.

2. Pour ouvrir Ajouter des nœuds de navigation, sélectionnez Gérer, puis sélectionnez Ajouter des nœuds de navigation.

3. Dans Ajouter des nœuds de navigation, sélectionnez Se connecter à d’autres domaines.

4. Dans Se connecter à, tapez le nom du domaine étranger que vous souhaitez gérer (par exemple, contoso.com), puis sélectionnez OK.

5. Lorsque vous êtes connecté avec succès au domaine étranger, parcourez les colonnes de la fenêtre Ajouter des nœuds de navigation, sélectionnez le ou les conteneurs à ajouter à votre volet de navigation du Centre d’administration Active Directory, puis sélectionnez OK.

Windows Server 2008 R2 : Pour gérer un domaine étranger dans l’instance sélectionnée du Centre d’administration Active Directory à l’aide de l’ensemble actuel d’informations d’identification

1. Pour ouvrir le Centre d’administration Active Directory, sélectionnez Démarrer, sélectionnez Outils d’administration, puis sélectionnez Centre d’administration Active Directory.

   Conseil

   Vous pouvez aussi ouvrir le Centre d’administration Active Directory en cliquant sur Démarrer, sur Exécuter, puis en tapant dsac.exe.

2. Ensuite, ouvrez Ajouter des nœuds de navigation, près du haut de la fenêtre du Centre d’administration Active Directory, et sélectionnez Ajouter des nœuds de navigation.

   Conseil

   Une autre façon d’ouvrir Ajouter des nœuds de navigation consiste à faire un clic droit n’importe où dans l’espace vide du volet de navigation du Centre d’administration Active Directory, puis à cliquer sur Ajouter des nœuds de navigation.

3. Dans Ajouter des nœuds de navigation, sélectionnez Se connecter à d’autres domaines comme illustré dans l’illustration suivante.

4. Dans Se connecter à, tapez le nom du domaine étranger que vous souhaitez gérer (par exemple, contoso.com), puis sélectionnez OK.

5. Lorsque vous êtes connecté avec succès au domaine étranger, parcourez les colonnes de la fenêtre Ajouter des nœuds de navigation, sélectionnez le ou les conteneurs à ajouter à votre volet de navigation du Centre d’administration Active Directory, puis sélectionnez OK.

Gérer un domaine en utilisant des informations d’identification différentes de l’ensemble actuel d’informations d’identification

Ouvrez le Centre d’administration Active Directory à l’invite de commande, tapez la commande suivante, puis appuyez sur ENTRÉE :

runas /user:<domain\user> dsac

Où <domain\user> est l’ensemble d’informations d’identification avec lequel vous souhaitez ouvrir le Centre d’administration Active Directory et dsac est le nom du fichier exécutable du Centre d’administration Active Directory.

Pendant que le Centre d’administration Active Directory est ouvert, parcourez le volet de navigation pour afficher ou gérer votre domaine Active Directory.

Résolution des problèmes de gestion des services de domaine Active Directory (AD DS)

Le Centre d'administration Active Directory est relativement récent et peu utilisé dans les environnements clients existants. Il offre donc des options limitées de résolution des problèmes.

Options de résolution des problèmes

Options de journalisation

Le Centre d’administration Active Directory contient désormais la fonctionnalité de journalisation intégrée, sous la forme d’un fichier de configuration de suivi. Créez/modifiez le fichier suivant dans le même dossier que dsac.exe :

dsac.exe.config

Créez le contenu suivant :

<appSettings>
  <add key="DsacLogLevel" value="Verbose" />
</appSettings>
<system.diagnostics>
 <trace autoflush="false" indentsize="4">
  <listeners>
   <add name="myListener"
    type="System.Diagnostics.TextWriterTraceListener"
    initializeData="dsac.trace.log" />
   <remove name="Default" />
  </listeners>
 </trace>
</system.diagnostics>

Les niveaux de détail de DsacLogLevel sont Aucun, Erreur, Avertissement, Info et Commenté. Le nom du fichier de sortie peut être configuré et enregistré dans le même dossier que dsac.exe. La sortie peut vous renseigner sur le mode de fonctionnement du Centre d'administration Active Directory, les contrôleurs de domaine qu'il a contactés, les commandes Windows PowerShell qu'il a exécutées, les réponses obtenues et autres informations.

Par exemple, en utilisant le niveau INFO qui renvoie tous les résultats sauf le détail au niveau du suivi :

• DSAC.exe démarre

• La journalisation démarre

• Le contrôleur de domaine doit renvoyer les informations de domaine initiales

  [12:42:49][TID 3][Info] Command Id, Action, Command, Time, Elapsed Time ms (output), Number objects (output)
  [12:42:49][TID 3][Info] 1, Invoke, Get-ADDomainController, 2012-04-16T12:42:49
  [12:42:49][TID 3][Info] Get-ADDomainController-Discover:$null-DomainName:"CORP"-ForceDiscover:$null-Service:ADWS-Writable:$null
  

• Le contrôleur de domaine DC1 a renvoyé depuis le domaine Corp

• Lecteur virtuel AD PS chargé

  [12:42:49][TID 3][Info] 1, Output, Get-ADDomainController, 2012-04-16T12:42:49, 1
  [12:42:49][TID 3][Info] Found the domain controller 'DC1' in the domain 'CORP'.
  [12:42:49][TID 3][Info] 2, Invoke, New-PSDrive, 2012-04-16T12:42:49
  [12:42:49][TID 3][Info] New-PSDrive-Name:"ADDrive0"-PSProvider:"ActiveDirectory"-Root:""-Server:"dc1.corp.contoso.com"
  [12:42:49][TID 3][Info] 2, Output, New-PSDrive, 2012-04-16T12:42:49, 1
  [12:42:49][TID 3][Info] 3, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49
  

• Obtenir les informations de la DSE racine du domaine

  [12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
  [12:42:49][TID 3][Info] 3, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
  [12:42:49][TID 3][Info] 4, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49
  

• Obtenir les informations de la Corbeille AD du domaine

  [12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"
  [12:42:49][TID 3][Info] 4, Output, Get-ADOptionalFeature, 2012-04-16T12:42:49, 1
  [12:42:49][TID 3][Info] 5, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49
  [12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
  [12:42:49][TID 3][Info] 5, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
  [12:42:49][TID 3][Info] 6, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49
  [12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
  [12:42:49][TID 3][Info] 6, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
  [12:42:49][TID 3][Info] 7, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49
  [12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"
  [12:42:50][TID 3][Info] 7, Output, Get-ADOptionalFeature, 2012-04-16T12:42:50, 1
  [12:42:50][TID 3][Info] 8, Invoke, Get-ADForest, 2012-04-16T12:42:50
  

• Obtenir la forêt AD

  [12:42:50][TID 3][Info] Get-ADForest -Identity:"corp.contoso.com" -Server:"dc1.corp.contoso.com"
  [12:42:50][TID 3][Info] 8, Output, Get-ADForest, 2012-04-16T12:42:50, 1
  [12:42:50][TID 3][Info] 9, Invoke, Get-ADObject, 2012-04-16T12:42:50
  

• Obtenir les informations de schéma pour les types de chiffrement pris en charge, les stratégies de mot de passe affinées, certaines informations utilisateur

  [12:42:50][TID 3][Info] Get-ADObject
  -LDAPFilter:"(|(ldapdisplayname=msDS-PhoneticDisplayName)(ldapdisplayname=msDS-PhoneticCompanyName)(ldapdisplayname=msDS-PhoneticDepartment)(ldapdisplayname=msDS-PhoneticFirstName)(ldapdisplayname=msDS-PhoneticLastName)(ldapdisplayname=msDS-SupportedEncryptionTypes)(ldapdisplayname=msDS-PasswordSettingsPrecedence))"
  -Properties:lDAPDisplayName
  -ResultPageSize:"100"
  -ResultSetSize:$null
  -SearchBase:"CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com"
  -SearchScope:"OneLevel"
  -Server:"dc1.corp.contoso.com"
  [12:42:50][TID 3][Info] 9, Output, Get-ADObject, 2012-04-16T12:42:50, 7
  [12:42:50][TID 3][Info] 10, Invoke, Get-ADObject, 2012-04-16T12:42:50
  

• Obtenir toutes les informations concernant l'objet de domaine à afficher pour l'administrateur qui a cliqué sur le sommet du domaine

  [12:42:50][TID 3][Info] Get-ADObject
  -IncludeDeletedObjects:$false
  -LDAPFilter:"(objectClass=*)"
  -Properties:allowedChildClassesEffective,allowedChildClasses,lastKnownParent,sAMAccountType,systemFlags,userAccountControl,displayName,description,whenChanged,location,managedBy,memberOf,primaryGroupID,objectSid,msDS-User-Account-Control-Computed,sAMAccountName,lastLogonTimestamp,lastLogoff,mail,accountExpires,msDS-PhoneticCompanyName,msDS-PhoneticDepartment,msDS-PhoneticDisplayName,msDS-PhoneticFirstName,msDS-PhoneticLastName,pwdLastSet,operatingSystem,operatingSystemServicePack,operatingSystemVersion,telephoneNumber,physicalDeliveryOfficeName,department,company,manager,dNSHostName,groupType,c,l,employeeID,givenName,sn,title,st,postalCode,managedBy,userPrincipalName,isDeleted,msDS-PasswordSettingsPrecedence
  -ResultPageSize:"100"
  -ResultSetSize:"20201"
  -SearchBase:"DC=corp,DC=contoso,DC=com"
  -SearchScope:"Base"
  -Server:"dc1.corp.contoso.com"
  

La définition du niveau Verbeux affiche également les piles .NET pour chaque fonction, mais elles ne contiennent pas suffisamment de données pour être utiles, sauf lors du dépannage des violations d’accès ou des plantages de Dsac.exe. Les deux causes probables de ce problème sont les suivantes :

• Le service ADWS ne fonctionne pas sur aucun contrôleur de domaine accessible.
• Les communications réseau sont bloquées vers le service ADWS depuis l’ordinateur exécutant le Centre d’administration Active Directory.

Les erreurs suivantes sont affichées lorsqu’aucune instance des services Web Active Directory n’est disponible :

Error	Opération
« Impossible de se connecter à un domaine. Actualisez ou réessayez lorsque la connexion est disponible. »	Affiché au démarrage de l'application Centre d'administration Active Directory
« Impossible de trouver un serveur disponible dans le domaine <NetBIOS domain name> qui exécute le service ADWS (Active Directory Web Service) »	Affiché au cours d'une tentative de sélection d'un nœud de domaine dans l'application Centre d'administration Active Directory

Pour résoudre ce problème, utilisez ces étapes :

1. Vérifiez si les services Web Active Directory sont démarrés sur au moins un contrôleur de domaine du domaine (et de préférence tous les contrôleurs de domaine dans la forêt). Assurez-vous qu’il est configuré pour démarrer automatiquement sur tous les contrôleurs de domaine également.

2. Sur l'ordinateur exécutant le Centre d'administration Active Directory, vérifiez que vous pouvez localiser un serveur exécutant les services Web Active Directory à l'aide des commandes NLTest.exe suivantes :

   nltest /dsgetdc:<domain NetBIOS name> /ws /force
   nltest /dsgetdc:<domain fully qualified DNS name> /ws /force
   

   Si ces tests échouent même si les services Web Active Directory sont en cours d'exécution, le problème se pose avec la résolution de noms ou le protocole LDAP et non avec les services Web Active Directory ou le Centre d'administration Active Directory. Ce test échoue avec l’erreur « 1355 0x54B ERROR_NO_SUCH_DOMAIN » si ADWS ne fonctionne pas sur aucun contrôleur de domaine, alors vérifiez deux fois avant de tirer des conclusions.

3. Sur le contrôleur de domaine renvoyé par NLTest, videz la liste du port d'écoute avec la commande :

   Netstat -anob > ports.txt
   

   Examinez le fichier ports.txt, puis validez que les services Web Active Directory écoutent le port 9389. Exemple :

   TCP    0.0.0.0:9389    0.0.0.0:0    LISTENING    1828
   [Microsoft.ActiveDirectory.WebServices.exe]
   
   TCP    [::]:9389       [::]:0       LISTENING    1828
   [Microsoft.ActiveDirectory.WebServices.exe]
   

   Si c'est le cas, validez les règles du Pare-feu Windows et vérifiez qu'elles autorisent le port TCP 9389 entrant. Par défaut, les contrôleurs du domaine activent la règle du pare-feu « Services Web Active Directory (TCP-entrant) ». Si le port n'est pas en train d'écouter, vérifiez à nouveau que les services sont en cours d'exécution sur ce serveur et redémarrez-le. Vérifiez qu'aucun autre processus n'est déjà en train d'écouter sur le port 9389.

4. Installez NetMon ou un autre utilitaire de capture réseau sur l'ordinateur exécutant le Centre d'administration Active Directory et sur le contrôleur de domaine renvoyé par NLTEST. Rassemblez des captures du réseau simultanées depuis les deux ordinateurs, sur lesquels vous démarrez le Centre d'administration Active Directory et voyez l'erreur avant d'arrêter les captures. Vérifiez que le client est capable d'envoyer des données au contrôleur de domaine et d'en recevoir de ce dernier sur le port TCP 9389. Si des paquets sont envoyés mais n’arrivent jamais, ou arrivent et que le contrôleur de domaine répond mais qu’ils n’atteignent jamais le client, il est probable qu’il y ait un pare-feu entre les ordinateurs sur le réseau bloquant les paquets sur ce port. Ce pare-feu peut être logiciel ou matériel et faire partie d'un logiciel tiers (antivirus) de protection de point de terminaison.

Voir aussi

• Corbeille Active Directory, stratégie de mot de passe affinée et historique PowerShell