logo rss

Mes notes personnelles sur Microsoft Active Directory : Commandes, configuration et meilleures pratiques

Logo Microsoft

Intro

Je mettrai ici toutes les notes que j'ai sur Active Directory. Ce sera principalement un rappel pour moi, mais j'espère que ça pourra s'avérer utile pour d'autres. Bonne lecture !

Paramètres DNS

Je ne me rappelle jamais dans quel ordre il faut paramétrer les DNS.

Disons que l'on dispose de deux serveurs AD :

  • SRVAD1 : 192.168.1.10
  • SRVAD2 : 192.168.1.20

Quelle doit être la configuration des dns? La réponse est :

Fenêtre des propriétés IPv4 montrant les configurations DNS pour deux serveurs Active Directory, SRVAD1 et SRVAD2, avec leurs adresses IP respectives et leurs serveurs DNS préférés.

Commandes

Tests

  • Analyse l'état des contrôleurs de domaines et signale tout problème pour faciliter le dépannage :
PS C:\ > dcdiag
  • Exécuter uniquement les tests dns, de réplications ou netlogons :
PS C:\ > dcdiag /test:dns PS C:\ > dcdiag /test:replications PS C:\ > dcdiag /test:netlogons
  • Afficher l'état de la réplication :
PS C:\ > repadmin /showrepl
  • Identifier les contrôleurs de domaines qui échouent dans la réplication :
PS C:\ > repadmin /replsum

Autres

  • Synchronise un contrôleur de domaine avec tous ses partenaires de réplication :
PS C:\ > repadmin /syncall

Déplacer les rôles fsmo

  • Afficher la liste des détenteurs de rôles de maître d'opérations avec le nom des serveurs associés :
PS C:\ > netdom query /domain:std.local fsmo Sortie PowerShell montrant les résultats de la requête sur les rôles FSMO pour le domaine std.local, listant Schema Master, Domain Naming Master, PDC, RID Pool Manager, et Infrastructure Master.

Méthode Dos (ancienne)

PS C:\ > ntdsutil ntdsutil: ntdsutil: roles fsmo maintenance: fsmo maintenance: connections server connections:server connections: connect to server SRVAD Binding to ad ... Connected to ad using credentials of locally logged on user. server connections: server connections: q fsmo maintenance: Transfer naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master Sortie PowerShell montrant l'utilisation de l'outil ntdsutil pour se connecter à un serveur et transférer les rôles FSMO tels que PDC et Infrastructure Master.

Méthode PowerShell (Nouvelle)

  • Vérifier la configuration :
PS C:\ > Get-ADDomainController -Server SRVAD | Select-Object -ExpandProperty OperationMasterRoles PS C:\ > Get-ADForest std.local -Server SRVAD | format-list schemamaster,domainnamingmaster
  • Transférer tous les rôles fsmo en une seule commande :
PS C:\ > Move-ADDirectoryServerOperationMasterRole -Identity SRVAD -OperationMasterRole pdcemulator,ridmaster,infrastructuremaster,schemamaster,domainnamingmaster

Renommer un DC

⚠️ Le processus consistant à renommer un DC est une opération sensible, assurez-vous donc de disposer d'au moins une sauvegarde et/ou d'un second contrôleur de domaine avant d'effectuer tout changement. ⚠️

Vérifications :

  • Liste le nom principal ou tout autre nom alternatif :
PS C:\ > Netdom computername SRVAD /ENUMerate
  • Vérifie s'il existe un enregistrement DNS et un service principal name (SPN) pour un nom d'ordinateur :
PS C:\ > Netdom computername SRVAD /verify

Rapide mais dangereux :

Ici nous demandons directement le changement de nom, si le processus échoue nous pouvons briquer notre DC.

  • Renomer le DC :
PS C:\ > netdom renamecomputer SRVOLD /NewName:SRVAD

Plus lent mais moins dangereux :

Ici nous ajoutons un nom secondaire au préalable pour toujours disposer d'un nom valide en cas d'échec.

  • Ajout d'un nom secondaire :
PS C:\ > Netdom computername SRVAD /add:SRVAD2.std.local
  • >Faire du nom secondaire le nom principal :
PS C:\ > Netdom computername SRVAD /makeprimary:SRVAD2.std.local
  • Supprimer l'ancien nom :
PS C:\ > Netdom computername SRVAD2 /remove:SRVAD.std.local

Durcir son Active Directory

Dans sa configuration par défaut Active Directory n'est pas vraiment sécurisé, afin de durcir sa configuration nous pourrons utiliser l'outil PingCastle.

Page de téléchargement Ping Castle montrant un MacBook avec un rapport Active Directory et un bouton 'Download' en surbrillance pour la version 2.10.0.0.
  • Décompresser l'archive et double cliquer sur PingCastle.exe pour démarrer le programme :
Vue du dossier montrant le fichier de l'application Ping Castle mis en évidence dans le répertoire PingCastle_2.10.0.0 téléchargé avec les fichiers d'accompagnement tels que PDF, config et updater.
  • Appuyer sur entrée pour lancer le healtcheck-Score :
Ping L'interface en ligne de commande de Castle met en évidence l'option permettant d'effectuer un contrôle de santé afin d'évaluer le risque d'un domaine dans un environnement Active Directory.
  • Appuyer de nouveau sur entrée pour lancer l'investigation :
Ping Castle Interface de ligne de commande invitant l'utilisateur à sélectionner un domaine ou un serveur à examiner, le domaine par défaut étant std.local.
  • Une fois la tache terminée presser une dernière fois sur entrée pour fermer l'outil :
Interface de ligne de commande Ping Castle montrant la réalisation d'une analyse de sécurité pour le domaine std.local, avec des étapes telles que la collecte de données et la génération de rapports.
  • Retourner dans le dossier décompressé et ouvrir le rapport html :
Vue de l'explorateur de fichiers montrant le dossier Ping Castle avec le rapport HTML généré pour le domaine std.local mis en évidence, ainsi que d'autres fichiers tels que les rapports XML et PDF.
  • Lire le rapport html afin de corrifer les failles potentielles :
Rapport de contrôle de santé Ping Castle pour le domaine std.local, montrant la date, la version du moteur et les indicateurs de risque Active Directory avec un score de 65/100.