Errata partie 1 - medias.dunod.commedias.dunod.com/document/9782100520411/Errata_1.pdf · Configuration d’une infrastructure Active Directory ... y compris qui contient ses ACL,

Errata 1 Kit de formation 70-640 Page 1/12

Errata partie 1

Kit de formation 70-640

Configuration d’une infrastructure Active Directory

avec Windows Server 2008

Microsoft Press remercie Sylvie GREGOIRE,

professeur pour la préparation à la certification Microsoft 70-640 & 70-642,

pour sa relecture attentive.

Chapitre 1 Leçon 1 Page 7 : Pour ce faire, AD DS FS étend votre structure AD DS interne au monde externe via des ports réservés TCP/IP

comme les ports 80 (http) et 443…

Chapitre 3 Leçon 1 Page95 : Le type d’objet, user, suit immédiatement la commande. Le DN de l’objet suit son type. Quand le DN d’un objet

comprend un espace, placez-le entre guillemets. La commande suivante supprime le même utilisateur :

Dsadd dsrm user « cn=Mike Fitzmaurice,ou=People,dc=contoso,dc=com » Dsquery.exe, Dsget.exe et Dsmod.exe sont des commandes DS qui lisent ou manipulent les attributs des objets.

Pour spécifier un attribut, transmettez-le en argument après le DN de l’objet. Par exemple, la commande suivante

récupère le chemin du dossier de base de Mike Fitzmaurice :

Dsadd dsget user « cn=Mike Fitzmaurice,ou=People,dc=contoso,dc=com » -hmdir

… La plupart des noms de paramètres sont transparents explicites : -email, -profile et

Chapitre 3 Leçon 1 Page 99 : 3. Cliquez droit sur l’OU VentesPeople, choisissez Nouveau et sélectionnez Utilisateur.

Chapitre 3 Leçon 3 Page 130 : $objUser.put(“company”, “Contoso, Ltd.”)

Et en VBScripts :

$objUser.put “company”, “Contoso, Ltd.”

…

$objUser.SetInfo( )

La version VBScript est identique, excepté le nom de variable:

$objUser.SetInfo( )

Chapitre 4 Leçon 1 Page 151, 152, 153, 154, 155 : Réplication …

Appartenance Adhésion …

Disponibilité …

Chapitre 4 Leçon 1 Page 154 : Comme vous pouvez le constater, les groupes globaux offrent l’appartenance l’adhésion la plus limitée (elle

s’applique uniquement aux utilisateurs, aux ordinateurs et aux groupes globaux issus du même domaine) mais aussi

la disponibilité la plus étendue à travers le domaine, la forêt et les domaines approbateurs.


Chapitre 4 Leçon 2 Page 169 : Supprimer Déplacer et renommer des groupes avec Dsmove

Chapitre 4 Leçon 3 Page 184 : Admins du domaine (conteneur Users de chaque domaine) …

Par défaut, il est ajouté au groupe Administrateurs local de chaque ordinateur membre du domaine, ce qui

donne aux Administrateurs Admins du domaine la propriété de tous les ordinateurs du domaine.

Chapitre 5 Leçon 1 Page 205 :

Rediriger le conteneur d’ordinateur Utilisateurs par défaut Les mêmes concepts …

Chapitre 5 Leçon 2 Page 219 :

Exercice 3 Importer des ordinateurs depuis un fichier LDIF 3. Enregistrez le fichier sous « Ordinateurs.csv ldf » dans votre dossier Documents, sans oublier les guillemets pour

éviter que le programme n’ajoute une extension .txt.

Chapitre 6 Leçon 1 page 244 : Client de Stratégie de groupe et extensions côté client

Mais comment les paramètres de Stratégie de groupe s’appliquent-elles ils exactement ?

Chapitre 6 Leçon 1 page 245 : REMARQUE Paramètre de stratégie Toujours attendre le réseau lors du démarrage de l’ordinateur et de

l’ouverture de session

…

Ce paramètre se trouve sous Configuration ordinateur\Stratégie\Modèles d’administration\Système\Ouverture de

session. Lisez attentivement les explications correspondantes.

Chapitre 6 Leçon 1 page 258 Remarque Si vous avez besoin de plusieurs plus de paramètres de modèle d’administration.

Chapitre 7 Leçon 1 page 308 Figure 7-2 Attention les deux boîtes de dialogue ont été inversées : celle de droite est à placer à gauche et celle de gauche est à

placer à droite (les explications qui suivent en dépendent).

→

Chapitre 7 Leçon 2 page 327 Les rôles installés sur le serveur

Les rôles susceptibles d’être effectués exécutés par le serveur


…

Chapitre 8 Leçon 3 page 406

Configurer la stratégie de réplication de mot de passe à l’échelle du domaine Pour faciliter la gestion de la PRP, Windows Server 2008 crée deux groupes de sécurité locaux au domaine dans le

conteneur Users d’Active Directory. Le premier, nommé Groupe de réplication Autorisé dont le mot de passe

RODC est autorisé, est ajouté à la liste d’autorisations de chaque nouveau RODC.

…

Le second groupe se nomme Groupe de réplication Refusé dont le mot de passe RODC est autorisé refusé Il est

ajouté à la liste de refus de chaque nouveau RODC.

Chapitre 10 Leçon 2 page 514 Il participe à la gestion spéciale de l’actualisation des mots de passe dans le domaine. Lorsque vous

réinitialisez ou modifiez un mot de passe utilisateur, le contrôleur de domaine qui effectue le changement

réplique vers le maître d’émulateur PDC. Cette application réplication spéciale garantit que les contrôleurs

de domaine ont connaissance du nouveau mot de passe aussi rapidement que possible.

… Il fournit une horloge maître au domaine Active Directory, Kerberos, FRS et DFS-R utilisent tous de

tampons d’heureun horodatage. Il est donc crucial de synchroniser

Chapitre 10 Leçon 2 page 515 L’heure dans tous les systèmes d’un domaine. L’émulateur PDC du domaine racine de la forêt est par défaut le

maître de l’heurel’horloge maître pour l’ensemble de la forêt… Tous les autres membres du domaine synchronisent

l’heure avec leur contrôleur de prédilectionfavoris.


Maître d’attribution de noms de domaine : composant logiciel enfichable Utilisateurs et ordinateurs

Active DirectoryDomaines et approbations Active Directory.

…

Remarque Activer le composant … Tapez regsvr32 schmmgmt.dll.

Chapitre 10 Leçon 2 page 521 6. A l’invite de commandes fsmo maintenance, tapez seize rôle role et appuyez sur Entrée.

…

REMARQUE …

Après avoir pris les rôles de maître RID, d’attribution de noms de domaine et de contrôleur de schéma, vous devez

complètement rétrograder mettre hors service le contrôleur de domaine d’origine.

…

Une fois le contrôleur de domaine complètement supprimé d’Active Directory, si vous souhaitez que le serveur

joigne de nouveau le domaine, vous pouvez le relier connecter au réseau et joindre le domaine.

Chapitre 11 Leçon 1 page 544 … Vous voudrez peut-être gérer la réplication dans les segments de réseau moins fortement connectés afin

d’optimiser les performances, réduire les coûts ou économiser gérer la bande passante.

Chapitre 11 Leçon 1 page 545 De nombreux documents suggèrent que le lien le plus lent d’un site ne devrait pas avoir un débit inférieur à 512

kilobits par seconde (Kbit/s).

…

Remarque Sites sans contrôleurs de domaine Les contrôleurs de domaine ne sont que l’un des services distribués d’un réseau Windows. D’autres services,

comme les ressources DFS distribuéesrépliquées, utilisent également les sites.



Définir des Sites Les sites et la réplication sont gérés dans le composant logiciel enfichable Sites et ServicesUtilisateurs et

ordinateurs Active Directory. Pour définir un site Active Directory, vous allez créer un objet de la classe site.

L’objet site est un conteneur qui gère la réplication pour les contrôleurs de domaine du site. Vous allez également

créer un ou plusieurs objets sous-réseau.

Chapitre 11 Leçon 1 page 547 Pour créer un objet site, cliquez droit sur le nœud Sites dans Sites et services Active Directory et en choisissant

Nouveau puis Sitesite.

…

Pour créer un objet sous-réseau, cliquez droit sur le nœud subnets Subnets dans le composant logiciel enfichable

Sites et services Active Directory et choisissez Nouveau, puis Soussous-réseau.

Chapitre 11 Leçon 1 page 549 N’oubliez pas le réseau fédérateur ni les sous-réseaux utilisés pour l’accès à distance comme les plages d’adresses

attribuées aux réseaux privés virtuels (VPN).


Enregistrements d’emplacement de service Lorsqu’un compte d’ordinateur contrôleur de domaine est ajouté au domaine, il annonce ses services en créant des

enregistrements DNS « Emplacement de service » ou enregistrements SRV (Service Resource Locator)

Chapitre 11 Leçon 1 page 553 4. Cliquez droit sur Sous-réseauxSubnets et choisissez Nouveau et Soussous-réseau.

Chapitre 11 Leçon 1 page 554 8. Cliquez droit sur Sous-réseaux Subnets et choisissez Nouveau et Soussous-réseau.

… 7. Cliquez droit sur Sous-réseauxSubnets et choisissez Nouveau et Soussous-réseau.


Notification … Ces délais, appelés délai de notification initial et délais de notification ultérieurs, servent à réduire le trafic

réseau causé par la réplication intrasite.

…

La modification a effectué trois deux sauts, de SERVER01 à SERVER02 et de SERVER02 à SERVER03.



→

Repadmin.exe accepte plusieurs commandes qui exécutent des tâches spécifiques. Vous en saurez plus sur chacune

d’elles en tapant repadmin / ?:commande.

Chapitre 11 Leçon 3 page 579 Afficher les partenaires de réplication d’un contrôleur de domaine Pour afficher les connexions de

réplication d’un contrôleur de domaine, tapez repadmin /showrepl DSA_LIST. Par défaut, Repadmin.exe

n’affiche que les connexions intrasiteinter-site…

Afficher les objets connexion d’un contrôleur de domaine Tapez repadmin /showconn DSA_LIST

objet, où DSA_LIST indique le ou les contrôleurs de domaine à interroger.

Chapitre 11 Leçon 3 page 580 3. Développez Sites, SIEGE, Servers et SERVER02.

Chapitre 11 Leçon 3 page 581 7. Cliquez droit sur IP et choisissez Nouveau puis Lien du vers un nouveau site.


Windows Server 2003 Une fois que tous les domaines de la forêt sont au niveau fonctionnel de domaine Windows Server 2003, et si vous

n’avez plus l’intention d’ajouter de nouveaux domaines à avec des contrôleurs de domaine Windows 2000 Server,

vous pouvez augmenter le niveau fonctionnel de la forêt à Windows Server 2003.

Chapitre 12 Leçon 1 page 602 8. Cliquez sur l’onglet Editeur d’attributs.

Chapitre 12 Leçon 1 page 609 d’attributs partiels pour tous les objets situés dans d’autres domaines de la forêt.

Chapitre 12 Leçon 2 page 612 Traduction de sécurité. La traduction de la sécurité est le processus consistant à qui examiner le

descripteur de sécurité de chaque ressource, y compris qui contient ses ACL, qui en identifiante chaque

SID se rapportant à un compte du domaine source et en le remplaçant par celui du compte dans ledu

domaine cible…

.


Il est capable de traduire des descripteurs de sécurité et des stratégies vers des ressources dans ledu

domaine source pour se rapporter aux comptes correspondants dans le domaine cible.


Relations d’approbation entre domaines …

Lorsqu’un utilisateur de l’annuaire du domaine approuvé ouvre une session ou se connecte à un système du

domaine d’approbation, ce dernier ne peut pas authentifier cet utilisateur car celui-ci ne figure pas dans sa banque

de données. Il passe donc l’authentification à un contrôleur de domaine du domaine approuvé. En conséquence, le

domaine d’approbation approuve le domaine approuvé pour authentifier

Chapitre 12 Leçon 2 page 625 Si votre domaine approuve un domaine Kerberos v5 non Windows, les utilisateurs du domaine Kerberos peuvent

recevoir se voir attribuer un accès vers lesaux ressources de votre domaine ; toutefois, il s’agit d’un processus

indirect.

…

Une approbation de forêt est une relation d’approbation transitive à sens unique ou bidirectionnelle.

Chapitre 12 Leçon 2 page 631 figure 12.13

Attention, la bonne option n’est pas cochée

→

Chapitre 12 Leçon 2 page 637 3. Donnez au groupe ACL_Accès_Produit l’autorisation Modifier vers le dossier Projet.

…

8. Tapez Développeurs Produit et cliquez sur OK.

Chapitre 12 Leçon 2 page 638 9. Sélectionnez l’unité d’organisation Domain Controllers dans l'arborescence de la console.

11. Cliquez sur l’onglet Sécurité

Chapitre 13 Avant de commencer page 646 Installer Windows Server 2008 sur une machine physique ou virtuelle nommée SERVER11 qui devra être

un serveur autonome. Elle hébergera les rôles Serveur DNS et Services de domaine Active Directory que

vous allez installer et créer dans les exercices de ce chapitre.


Chapitre 13 Leçon 1 page 649 Comment sauriez-vous sinon un utilisateur doit être membre d’un groupe ?


Administration des

équipements d’extrémités

Tous les ordinateurs d’un environnement réseau

Windows doivent posséder un compte

d’utilisateurd’ordinateur.

…


Attention il y a une erreur dans la figure

→

Chapitre 13 Leçon 1 page 668 10. Cliquez sur Next pour installer l'application, puis cliquez sur Finish lorsqu'elle est terminée.

L’installation est achevée.

11.

Pour utiliser l'outil, cliquez sur Démarrer\Tous les programmes\Quest

Software\Quest Object Restore For Active Directory puis sur Quest Object Restore

For Active Directory.

Ce programme s'exécute dans sa propre MMC.

12. Quand la console est ouverte, cliquez droit sur Quest Object Restore For Active Directory et sélectionnez

Connect To.

13. Tapez le FQDN du domaine ou cliquez sur Parcourir pour le localiser. Cliquez sur OK pour vous

connecter.

14. Cliquez sur le nom de domaine dans l'arborescence.

14 . La liste des objets supprimés doit apparaître dans le volet de détails.

Si les objets n'apparaissent pas, cliquez sur le bouton Actualiser.

15. Pour restaurer un objet, cliquez droit sur son nom dans le volet de détails et sélectionnez Restore

(voir figure 13-5). Cliquez sur Ok quand l'objet a été restauré.

Attention, il y a une erreur de figure


→

Chapitre 13 Leçon 1 page 669 …Il était et il demeure impossible de restaurer différents jeux de sauvegarde sur différents contrôleurs de domaine

et de voir les données qu’elles qu’ils contiennent.

…

Restaurer les données ne faisant pas autorité, qui seront ajoutées au DC mais seront actualisées par la

réplication multimaître quand le DC sera connecté.

Restaurer les données ne faisant pas autorité, qui seront ajoutées au DC mais seront actualisées par la

réplication multimaître quand le DC sera connecté.

Chapitre 13 Leçon 1 page 670 Les sauvegardes sont effectuées avec Sauvegarde de Windows Server Backup ou avec l’outil en ligne de

commandes correspondant, Wbadmin.exe.

…

Il est impossible de sauvegarder des fichiers individuels. Sauvegarde de Windows Server Backup ne prend

en charge que les volumes.

…

Les opérateurs de sauvegarde ne peuvent pas créer de sauvegardes planifiées. Seuls les membres du groupe

Administrateurs local ont ce privilège sous Windows Server 2008. Dans la plupart des cas, cela implique

d’être membre du groupe Admins du domaine sdur les contrôleurs de domaine.

Si un serveur tombe en panne, vous devez utiliser une copie locale de WinRE (Windows Recovery

Environment) pour restaurer le système.

Chapitre 13 Leçon 1 page 671 Protégez soigneusement le mot de passe du mode de restauration des services d’annuaire. Ce mot de passe

est impératif pour restaurer des données sur un contrôleur de domaine, et comme il dispose de beaucoup de

privilèges, il doit être protégé en permanence.

…

Lorsque d’autres rôles de serveur sont installés sur un système, l’état du système inclura les quatre premiers

objets de la liste précédente, plus les fichiers suivants :


DC accessible en écriture avec

données SYSVOL

Create SYSVOL Full

destination

Créer un support pour un DC

accessible en lecture avec le répertoire

SYSVOL complet dans le dossier

destination.

…

Elle s’applique à la foisaussi bien à l’installation complète et qu’ à serveur Core.

Chapitre 13 Leçon 1 page 674 ...Cette procédure s’applique directement à sur l’installation complète et ou à sur Server Core.


Chapitre 13 Leçon 1 page 675 1. Ouvrez une session sur un DC avec des informations d’identification d’administrateur de domaine et

lancez Sauvegarde de Windows Server depuis le groupe de programmes Outils d’administrations.

2. Si une boîte de dialogue Contrôle de compte d’utilisateur s’affiche, confirmez l’action et cliquez sur

Continuer.


Bcedit /set safeboot dsrepair EnsuitePuis, au momentquand vous avez besoin de redémarrer le serveur normalement, tapez la commande

suivante:


Effectuer des sauvegardes restaurations faisant autorité ou non.


aAuditpol /set /subcategory: “directory service changemodification service d’annuaires” /success :enable

Chapitre 13 Leçon 1 page 692 4. Si une boîte de dialogue demandant des informations d’identification s’affiche, tapez

TreyResearch\Administrateur ou un équivalent et le mot de passe requis.

Chapitre 13 Leçon 1 page 693 16. Dans la page Compatibilité du système d’exploitation, lisez les informations et cliquez sur Suivant.

…

18. Dans la page Informations d’identification Réseau, tapez Treyresearch.net

Chapitre 13 Leçon 1 page 695 6. Lancez une invite de commandes élevée en cliquant droit sur Invite de commandes dans le menu Démarrer et en

choisissant Exécuter en tant qu’administrateur.

Chapitre 13 Leçon 1 page 696 10. Maintenant, sauvegardez le fichier Ntds.dit pour protéger, dans l’éventualité d’un problème.

Chapitre 13 Leçon 1 page 697 2.Vérifiez également qu'un dossier C:\temp et un dossier C:\NTDS existent sur votre serveur…

Chapitre 13 Leçon 1 page 698 2.Vérifiez l’existence d’un dossier nommé Temp sur le disque C


Travailler avec l’Observateur d’événements … Par défaut, il s’agit des journaux Applications, Sécurité, Configuration, Système et Evénements transmis tous

localisés dans le dossier Journaux Windows. Toutefois, sur un contrôleur de domaine, vous disposerez de journaux

supplémentaires spécifiquement associés au fonctionnement d’AD DS.

Chapitre 13 Leçon 1 page 708 Windows Server 2008 possède dans le conteneur Built-in un nouveau groupe, nommé UtilisateurUtilisateurs des du

journaux journal de performances, qui permet aux administrateurs de serveurs qui ne sont pas membres du groupe

Administrateurs local d’exécuter des tâches associées à l’analyse et à la journalisation des performances. Pour que

ce groupe puisse lancer la journalisation des données ou modifier les ensembles de collecteurs des données, il doit

avoir le droit d’utilisateur Ouvrir une session en tant que tâche.


Interface réseau : Total des

octets/s

Interface réseau : Paquets

sortants rejetés


Chapitre 13 Leçon 2 page 717 1. Ouvrez une session sur SERVER10 avec le compte d’administrateur de domaine. Vous devez être membre

du groupe Utilisateurs des du journaux journal de performance performances avec le droit …

5. Par défaut, l’Assistant sélectionne …

Chapitre 13 Leçon 2 page 718 Utilisateurs des du journaux journal de performances.

9. Dans la boîte de dialogue Action du dossier, vérifiez que la date du jour est la date de commencement…


13. … La page Action du dossier permet de choisir la façon dont les données sont archivées afin avant d’être

définitivement supprimées.


Attention, le curseur du schéma est au mauvais emplacement : il faut faire clic droit sur diagnostics\fiabilité

et performances\ensemble de connecteurs de données \Système\Active Directory Diagnostic\clic droit

dernier rapport.

17. Affichez le rapport généré par votre Ensemble de Collecteurs. Cliquez sur Nom du fichier rapport dans

le collecteur Rapports du Système

Chapitre 13 Leçon 2 page 722 7. … qui se trouve dans le groupe programmes outils d’administration.

Chapitre 14 Avant de commencer page 731 …

Installer Windows Server 2008 sur une autre machine physique ou virtuelle. Elle doit se nommer

SERVER03 et être un serveur membre du domaine contoso.com. Elle hébergera les instances d'AD LDS

que vous allez installer et créer tout au long des exercices de ce chapitre. S’assurer qu’elle dispose d’un

lecteur D : pour sauvegarder les données des instances d’AD LDS. 10 Go sont recommandés pour la taille

de ce lecteur.

Chapitre 14 Avant de commencer page 733 Le produit original Active Roles était produit par FastLane, une petite entreprise canadienne d'Ottawa dont

Quest avait fait l'acquisition et qui avait été enrôlée intégrée dans le projet EDM



Supporte les interfaces de programmation (API) pour LDAP. ■ ■

Supporte l'API Interface de services Active Directory (ADSI). ■ ■

Chapitre 14 Leçon 1 page 737 Vous vous appuyez sur AD LDS pour fournir des données associées aux comptes utilisateur AD DS sans

ajouter au schéma de ce dernier d'extensions qui seraient indispensables autrement.


La suppression d'AD LDS exige deux actions :

Désinstaller au préalable n'importe quelle instance d'AD LDS créée après l'installation du rôle, utiliser

Programmes et fonctionnalités à partir du Panneau de configuration.

Employer ensuite le Gestionnaire de serveur pour enlever le rôle AD LDS.

Comme vous pouvez le constater, les conditions d'installation et de désinstallation sont simples. La principale

difficulté consiste à s'assurer que toutes les instances ont été enlevées d'un serveur avant d'enlever le rôle

correspondant.

Chapitre 14 Leçon 1 page 742 1.3. Consultez la liste des fichiers installés par le processus d’installation d’AD LDS.

Chapitre 14 Leçon 2 page 749 1. …Par défaut, ce sont le port 389 pour LDAP et le port 636 pour LDAP sur SSL ou Secure LDAP. AD DS en

emploie deux autres, le port 3268 qui utilise LDAP pour accéder au catalogue LDAP global et le port 3269

qui utilise Secure LDAP pour accéder au catalogue LDAP global sécurisé. Le fait qu'AD DS et AD LDS

utilisent les mêmes ports constitue une autre bonne raison pour ne pas faire coexister les deux rôles sur le

même serveur. Toutefois, si l'Assistant détecte que les ports 389 et 636 sont déjà occupés il propose 50000

et 50001 pour chaque port et utilise ensuite les autres ports suivants dans les 50000 pour les instances

supplémentaires.


• Attribuez aux utilisateurs le privilège Ouvrir une session en tant que service dans la stratégie de sécurité

locale de chaque ordinateur qui accueillera cette instance.

• Attribuez aux utilisateurs le privilège Générer des audits de sécurité dans la stratégie de sécurité

locale de chaque ordinateur qui accueillera cette instance pour prendre en charge l'audit du compte.


6. Dans la boîte de dialogue Changer de serveur d'annuaire choisissez Ce contrôleur de domaine ou cette

instance d'AD LDS, <Tapez ici un nom de serveur d'annuaire [: port] >, saisissez le nom du serveur et le

numéro d'accès de port séparés par : et cliquez sur OK.


…Toutefois, avant de pouvoir procéder de cette manière, vous devez importer le fichier MS-ADLDS-

DisplaySpecifiers.ldf pour mettre à jour le schéma de l'instance afin qu'elle prenne en charge les objets appropriés.

Pour ce faire, appliquez la procédure suivante :

2. Accédez au dossier %SystemRoot%\ADAM en utilisant la commande : cd\ windows\adam.

Mise en forme : Puces et numéros


…

7. Saisissez le nom du serveur et le numéro d’accès de port séparés par le signe deux-points et appuyez sur

Entrée.


8. Dans la page de configuration Joindre un jeu de configuration, dans la zone Serveur, cliquez sur

Parcourir pour localiser SERVER02. Tapez SERVER03 et cliquez sur Vérifier les noms. Cliquez OK puis

saisissez 50004 dans le champ Port LDAP Cliquez sur Suivant.