[Active Directory] Erreurs DCDIAG – failed test NCSecDesc

C’est une erreur que j’ai rencontré suite à un banal contrôle de routine, en exécutant un « DCDIAG /e » sur l’ensemble de l’AD.

Cette erreur n’était jamais survenue auparavant, la première question à se poser est : Qu’avons nous modifié dans notre AD ?

Dans mon cas c’est assez rapide, nous avions ajouté un RODC. La première chose à vérifier est le schéma AD, avons-nous fait le ADPREP / RODCPREP ?

Nous pouvons nous aider d’une commande PowerShell pour vérifier cela : dsquery.exe * “CN=Schema,CN=Configuration,DC=domain,DC=local” -scope base -attr objectversion

Sinon avec ADSIEDIT, dans la partie configuration vous devez trouver le conteneur « ActiveDirectoryRodcUpdate » sous « ForestUpdates ».

dcdiag

Dans les propriétés de ce conteneur vous devez trouver l’attribut « revision » avec une valeur égale à 2.

dcdiag1

Si tel est le cas, c’est que la commande ADPREP RODCPREP a bien été exécutée. Le problème ne vient donc pas de là.

L’autre élément à vérifier est le groupe « ENTERPRISE DOMAIN CONTROLLERS »

Celui-ci doit avoir les droits suivants :

  • Manage replication topology
  • Replicating Directory Changes
  • Replicating Directory Changes All
  • Replicating Directory Changes In Filtered Set
  • Replication Synchronization

Vous pouvez modifier ces permissions via ADSIEDIT en cliquant droit sur votre naming context et en cherchant dans l’onglet « Sécurité » le groupe en question.

dcdiag2

Lancez à nouveau un DCDIAG pour vérifier.

Publicités

Installation de DirSync sur un serveur Windows 2012 R2 Français

Une petite subtilité lors de l’installation de DirSync sur un serveur Windows 2012 R2 Français.

Lorsque vous tentez d’installer DirSync, le message d’erreur suivant s’affiche :

DirSync_Error

Etant sur Windows 2012R2 il est surprenant que Powershell ne soit pas installé en version 2.0 ou ultérieur, il s’agit forcément d’un bug…

Pour le contourner, rien de plus simple, il suffit de vous rendre dans le « Panneau de configuration > Modifier les formats de date, d’heure ou de nombre »

Modifier votre paramètre de région en le remplaçant par « Anglais (Etats-Unis) »

DirSync_Error2

DirSync vérifie la présence de Powershell V2.0 et non V2,0 (notez la nuance entre le point et la virgule) 🙂

Faites la même manip’ dans le sens inverse lorsque vous lancerez l’assistant de configuration, cette fois-ci l’assistante cherche Powershell V2,0 et non plus Powershell V2.0, pourquoi faire simple quand on peux faire compliqué…

DirSync_Error3

Citation

[Active Directory] Protéger ses OU simplement avec Powershell

Dans ce tuto nous utiliserons une fois de plus le Powershell, afin de nous faciliter une tâches d’administration.

Petit rappel : Windows 2008 apporte une fonctionnalité intéressante, celle de protéger ses OU contre la suppression accidentelle. Celle-ci se nomme  « Protéger le conteneur contre une suppression accidentelle » ou en anglais « Protected object from accidental deletion »

Dans un premier temps nous verrons la méthode graphique, puis dans un second temps la même action via Powershell (nettement plus rapide)

1 – Lancez la console « Active Directory Users and Computers »

2 – Faites un clic droit sur l’OU à protéger, puis « Properties » et sélectionner l’onglet « Object »

1

3 – Il ne nous reste plus qu’a cocher l’option « Protect object from accidental deletion »

2

4 – Répétez l’opération sur toutes vos OU et … vos sous OU, je vous l’accorde c’est long et rébarbatif 😦

Maintenant la méthode Powershell qui va vous faire économiser bien du temps.

1 – Ouvrez une invite de commande Powershell et commencez par importer le module « ActiveDirectory ».

Import-Module ActiveDirectory

2 – Exécutez la commande ci-dessous, celle-ci permet d’afficher les OU actuellement non protégées.

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | ft

3 – Exécutez enfin cette commande pour protéger les Ou précédemment affichées.

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true

Et voilà, on ne peut plus simple et rapide.

Image

[Active Directory] Diminuer le niveau fonctionnel d’une forêt et/ou d’un domaine

Image

Depuis Windows Server 2008 R2, Microsoft à eu la bonne idée de nous fournir la possibilité de diminuer le niveau fonctionnel d’un domaine et/ou d’une forêt. Et cela grâce au module Powershell Active Directory.

Chose impossible auparavant, seule une augmentation du niveau fonctionnel était possible.

Merci Microsoft pour ce gain de temps 🙂

Vous trouverez ci-dessous les commandes nécessaires.

1 – Depuis un contrôleur de domaine, ouvrir Powershell et commençons par importer le module « ActiveDirectory ».

Import-module ActiveDirectory

2 – Déterminons ensuite le niveau fonctionnel de notre domaine.

Get-ADDomain | Format-list domainmode

1

3 – Déterminons également le niveau fonctionnel de notre forêt.

Get-ADForest | Format-list forestmode

2

4 – Modifions maintenant le niveau fonctionnel de notre forêt

Set-ADForestMode -identity votredomaine -forestmode Windows2008R2Forest

3

5 – Modifions maintenant le niveau fonctionnel de notre domaine

Set-ADDomainMode -identity votredomaine -domainmode Windows2008R2Domain

4

Et voilà, votre domaine et votre forêt sont passé en 2008R2