Tout sur les relations d approbations (v2)

Tout sur les relations d approbations (v2) Tutorial conçu et rédigé par Michel de CREVOISIER Septembre 2013 SOURCES Relations d approbation : http://www.labo-microsoft.org/articles/win/trust/ http://technet.microsoft.com/en-us/library/cc730798.aspx 1

INDEX SOURCES... 1 INDEX... 2 Préambule... 3 1. Approbations prédéfinies... 4 1.1 Relations parents / enfants... 4 1.2 Relations d arborescence... 8 1.3 Relations mixtes... 12 2. Approbations raccourcies... 13 2.1 Définition... 13 2.2 Schéma... 13 2.3 Création d une relation d approbation raccourcie... 14 2.4 Vérifications... 18 3. Approbations externes... 19 3.1 Définition... 19 3.2 Schéma... 19 3.3 Résolution des noms DNS... 19 3.4 Création d une relation d approbation externe... 24 3.5 Vérifications... 35 4. Approbations de forêts... 36 2

Préambule Ce tuto a pour objectif de vous présenter les différents types de relations qu il peut exister au sein d une forêt ou d un domaine. Notez toutefois que la tendance actuelle des «IT» est d unifier au maximum leurs structures Active Directory afin de faciliter sa gestion. Il convient néanmoins de connaître le fonctionnement de ces différentes relations dans la mesure où vous pourriez être confrontés à une réunification de plusieurs arborescences réparties sur plusieurs sites. Par ailleurs, la connaissance du fonctionnement de certaines approbations est indispensable, notamment dans le cas de migrations inter-forêt. 3

1. Approbations prédéfinies Les approbations prédéfinies sont des approbations qui sont créées automatiquement durant les processus d extension de la forêt ou du domaine. Elles sont bidirectionnelles et transitives. 1.1 Relations parents / enfants 1.1.1 Définition Lors de l ajout d un domaine enfant «France» à un domaine existant «Agglo», une relation d approbation est créée. La création d un domaine enfant se fait obligatoirement sous la «tutelle» d un domaine parent. Le schéma ci-dessous représente cette situation : 1.1.2 Schéma 4

1.1.3 Création d un domaine enfant Pour ajouter un domaine enfant dans une forêt existante : Exécutez la commande dcpromo Sélectionnez l option suivante : Indiquez le nom du domaine parent pour lequel vous souhaitez créer un domaine enfant : 5

Indiquez pour terminer le nom du domaine enfant : 1.1.4 Vérifications Pour visualiser et vérifier que la relation d approbation parent/enfant a bien été créée : Ouvrez la console Active Directory Domains and Trusts Clic droit sur le domaine racine > Properties > Trusts o Depuis la console du domaine parent «Agglo», vous apercevez le domaine enfant «France» approuvé (relation entrante/sortante et transitive) : 6

o Depuis la console du domaine enfant «France», vous apercevez le domaine parent «Agglo» approuvé : Par ailleurs, si vous cliquez sur Properties à partir du domaine parent, vous obtenez les informations suivantes : 7

1.1.5 Requête FSMO Voici le résultat obtenue concernant la répartition des rôles FSMO à partir du serveur du domaine enfant «France» : netdom /query fsmo 1.2 Relations d arborescence 1.2.1 Définition Les relations d arborescence sont les relations créées entre les racines de chaque arborescence avec la racine de la forêt. En vulgarisant, on peut considérer cette action comme l ajout d une «sous forêt» à une forêt existante. Dans notre cas nous allons ajouter une nouvelle racine d arborescence «Belgique» au sein de la forêt «Agglo». Le schéma ci-dessous représente cette situation : 1.2.2 Schéma 8

1.2.3 Création d une nouvelle arborescence Pour créer une nouvelle arborescence au sein d une forêt existante : Exécuter la commande dcpromo Sélectionnez l option suivante : Indiquez le nom de la nouvelle arborescence : 9

1.2.4 Vérifications Pour visualiser et vérifier que la relation d arborescence a bien été créée : Ouvrez la console Active Directory Domains and Trusts Clic droit sur le domaine racine > Properties > Trusts o Depuis la console de la forêt racine «Agglo», vous apercevez la nouvelle racine d arborescence «Belgique» : o Inversement depuis la console de la nouvelle racine d arborescence «Belgique» : 10

Vous pouvez également vérifier cela à partir de la console Active Directory User and Computers en vous dirigeant dans l UO System (masquée par défaut) et en recherchant les domaines ou forêt associés : 1.2.5 Requête FSMO Voici le résultat obtenu concernant la répartition des rôles FSMO à partir du serveur d arborescence racine de la forêt «Belgique» : netdom /query fsmo 11

1.3 Relations mixtes A titre d exemple, le schéma ci-dessous illustre un environnement Active Directory «mixte» avec une racine d arborescence «Belgique» et un domaine enfant «Canada», tous deux situés dans la forêt racine «Agglo». 12

2. Approbations raccourcies 2.1 Définition Dans le cas d une structure Active Directory complexe, il se peut que le calcul du chemin d accès soit extrêmement long en raison de l imbrication de plusieurs domaines au sein de différentes arborescences. Pour parer à ce problème, les relations raccourcies ont été introduites dans l objectif d accélérer d un point de vue réseau le processus d authentification, et d un point de vue temps le calcul du chemin d approbation le plus court. Source Dans notre cas, nous allons créer une relation d approbation raccourcies entre les domaines enfants «France» et «Canada» situés dans la forêt «Agglo». Ce type d approbation peut également être utilisé entre deux domaines situés dans des forêts différentes. 2.2 Schéma 13

2.3 Création d une relation d approbation raccourcie Depuis le serveur du domaine enfant «Canada» : Ouvrez la console Active Directory Domains and Trusts Clic droit sur le domaine «Canada» > Properties > Trusts > New trust L assistant suivant se lance : Indiquez le nom du domaine enfant avec lequel vous souhaitez créer une relation d approbation raccourcie : 14

Choisissez ensuite le sens de la relation : Etant donné qu il s agit d une approbation mutuelle, choisissez l option ci-dessous : 15

Renseigner le login du compte administrateur pour le domaine enfant «France» : Un dernier message vous résume l ensemble des actions qui vont être effectuées : 16

Il est suivi d un autre message vous confirmant la création de l approbation raccourcie : Par la suite, vous devrez confirmer à deux reprises les approbations sortantes et entrantes : Pour terminer, l assistant vous informe du bon déroulement de la création de l approbation : 17

2.4 Vérifications Pour visualiser et vérifier que la relation d approbation raccourcie a bien été créée : Ouvrez la console Active Directory Domains and Trusts Clic droit sur le domaine racine > Properties > Trusts o Depuis la console du domaine enfant «France», vous obtenez les informations suivantes : o Il en est de même depuis la console du domaine enfant «Canada» : 18

3. Approbations externes 3.1 Définition Une approbation externe permet de créer une approbation non transitive uni- ou bidirectionnelle, avec un domaine situé à l extérieur de la forêt. Elle permet ainsi aux utilisateurs d avoir accès aux ressources d une autre forêt de façon totalement transparente. Ce type de relation est généralement utilisé pour des migrations d utilisateurs, pour l accès à des ressources situées sur des domaines NT4 ainsi que pour des migrations Exchange. Source 3.2 Schéma 3.3 Résolution des noms DNS Etant donné que nos deux forêts utilisent chacune leurs propres domaines de noms DNS, il est logique que la forêt «Agglo» ne puisse pas résoudre le nom d une machine située dans la forêt «Mairie» (et inversement). Aussi, la première étape consistera à configurer chaque forêt afin qu elle puisse effectuer une résolution DNS à partie de la forêt distante. Si vous souhaitez en savoir plus concernant le fonctionnement des zones DNS, je vous recommande la lecture de mon tuto «Serveurs DNS redondants» disponible sur Scribd. 3.3.1 Activation du transfert de zone Nous allons commencer par activer le transfert de zone pour les zones de la forêt «Agglo» : Ouvrez la console DNS de la forêt «Agglo» Clic droit sur la zone «_msdcs.agglo.com» > Properties > Zone transfers > Edit Ajoutez l IP du contrôleur de domaine de la forêt distante «Mairie» 19

Répétez l action pour la zone «agglo.com» : Clic droit sur la zone «agglo.com» > Properties > Zone transfers > Edit Ajoutez l IP du contrôleur de domaine de la forêt distante «Mairie» Reproduisez ensuite ces points depuis la console DNS de la forêt «Mairie» (zones «mairie.com» et «_msdcs.mairie.com») en indiquant cette fois-ci l IP du contrôleur de domaine de la forêt distante «Agglo» 3.3.2 Réplication des zones Maintenant que le transfert de zone est activé, nous allons créer dans la forêt «Mairie» deux zones secondaires qui stockeront les enregistrements issus des zones DNS de la forêt distante «Agglo». Pour cela : Depuis la console DNS du contrôleur de domaine de la forêt «Mairie», clic droit sur Forward lookup zones > New zone > Secondary zone 20

Indiquez le nom de la zone dont on souhaite récupérer les enregistrements DNS (en l occurrence «agglo.com») : Indiquez l IP du serveur «agglo.com» : Répétez ces étapes mais pour la zone «_msdcs.agglo.com» 21

Si la réplication a bien fonctionné, la zone «agglo.com» ainsi que la zone «_msdcs.agglo.com» apparaîssent dans l aparté Forward lookup zones du contrôleur de domaine de la forêt «Mairie» : Répétez ensuite l ensemble des actions précédentes mais depuis la forêt «Agglo». Le résultat doit être le suivant : 3.3.3 Configuration des suffixes DNS clients Si vous souhaitez que vos postes clients puissent également résoudre les noms de clients situés dans l autre forêt, vous pouvez créer une GPO qui ajoutera localement les suffixes DNS des deux forêts. Pour cela : Ouvrez la console Group Policy Management Créer une nouvelle GPO nommée «Suffixes DNS» et faites un clic droit > Edit 22

Naviguez dans : Computer Configuration > Policies > Administrative Templates > Network > DNS Client Double-cliquez sur DNS Suffix Search List et renseignez les noms des suffixes DNS. Prenez soin d indiquer en premier le suffixe de la forêt où s applique la GPO : 23

Une fois la stratégie appliquée, vos postes clients doivent avoir la configuration DNS suivante dans leurs paramètres TCP/IP : 3.4 Création d une relation d approbation externe 3.4.1 Depuis un Windows Server 2003 R2 Depuis le contrôleur de domaine 2003 de la forêt «Mairie» : Ouvrez la console Active Directory Domains and Trusts Clic droit sur le domaine «Mairie.com» > Properties > Trusts > New trust L assistant suivant se lance : 24

Indiquez le nom de la forêt avec laquelle vous souhaitez créer une relation d approbation externe (en l occurrence «Agglo.com») : Indiquez qu il s agit d une relation bidirectionnelle : 25

Si vous souhaitez que la relation externe soit créée automatiquement dans les deux forêts, choisissez la deuxième option. Dans le cas contraire, il faudra créer manuellement chaque relation pour chacune des forêts : Indiquez les identifiants pour le domaine «Agglo» : 26

Il est possible de spécifier que seuls les utilisateurs autorisés puissent s authentifier sur le domaine distant. Dans notre cas, nous choisirons d autoriser tous les utilisateurs du domaine distant : Il en est de même pour ceux du domaine local : 27

Un écran vous résume les actions qui vont être effectuées : A la suite, une fenêtre vous confirme que la création de la relation s est bien déroulée : Confirmez ensuite à deux reprises les approbations sortantes et entrantes : 28

Avant de quitter l assistant, prenez note du message concernant le «SID filtering» 3.4.2 Depuis un Windows Server 2008 R2 Depuis le contrôleur de domaine 2008 de la forêt «Agglo» : Ouvrez la console Active Directory Domains and Trusts Clic droit sur le domaine «Agglo.com» > Properties > Trusts > New trust L assistant suivant se lance : 29

Indiquez le nom de la forêt avec laquelle vous souhaitez créer une approbation de forêt (en l occurrence «Mairie.com» : Indiquez qu il s agit d une relation d approbation externe : 30

Indiquez qu il s agit d une relation bidirectionnelle : Si vous souhaitez que la relation externe soit créée automatiquement dans les deux forêts, choisissez la deuxième option. Dans le cas contraire, il faudra créer manuellement chaque relation pour chacune des forêts : 31

Indiquez les identifiants pour le domaine «Mairie» : Il est possible de spécifier que seuls les utilisateurs autorisés puissent s authentifier sur le domaine distant. Dans notre cas, nous choisirons d autoriser tous les utilisateurs du domaine distant : 32

Il en est de même pour ceux du domaine local : Un écran récapitulatif résume les actions qui vont être effectuées : 33

A la suite, une fenêtre vous confirme que la création de la relation s est bien déroulée : Confirmez ensuite à deux reprises les approbations sortantes et entrantes : Avant de quitter l assistant, prenez note du message concernant le «SID filtering» 34

3.5 Vérifications Pour visualiser et vérifier que la relation d approbation raccourcie a bien été créée : Ouvrez la console Active Directory Domains and Trusts Clic droit sur le domaine de votre choix > Properties > Trusts o Depuis la console de la forêt «Mairie», vous obtenez les informations suivantes : o Idem depuis la console de la forêt «Agglo» : Vous pouvez également exécuter la commande suivante pour vérifier la relation : netdom trust agglo.com /domaine:mairie.com /verify 35

4. Approbations de forêts Apparue avec Windows Server 2003, ce type d approbation permet à tous les domaines d une forêt d approuver de manière transitive tous les domaines d une autre forêt. Cette relation peut être uniou bidirectionnelle. Notez que tous vos domaines devront être au moins en niveau fonctionnel 2003 pour utiliser ce type de relation. Source Approbation de forêt : source Quant créer une approbation de forêt : source N hésitez pas m envoyer vos commentaires ou retours à l adresse suivante : m.decrevoisier A-R-0-B-A-5 outlook. com Soyez-en d ores et déjà remercié 36