Bugs en série sur Windows Server 2008 -> vivement le service pack 2 !

Salut à tous

Je travaille actuellement pour un de mes clients sur un projet de migration Exchange inter-organisation.
Dans le cadre de cette migration, nous allons créer une nouvelle forêt Active Directory (gérée par des contrôleurs de domaine Windows 2008 Server avec Exchange 2007) et migrer les ressources de la forêt actuelle (gérée par des contrôleurs de domaine Windows 2003 avec Exchange 2003) vers la nouvelle forêt à l’aide d’ADMT 3.1.

Pour rappel, ADMT 3.1 est gratuit et peut être téléchargé à cette adresse :
http://www.microsoft.com/downloadS/details.aspx? familyid=AE279D01-7DCA-413C-A9D2-B42DFB746059&displaylang=en
Microsoft a écrit un guide complet sur cet outil (éviter la version française qui a la facheuse idée de traduire les commandes en français) :
http://www.microsoft.com/DownLoads/details.aspx? familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=en

Hors en faisant ma maquette de migration, j’ai eu le doit à pas moins de deux bugs en essayant d’établir ma relation d’approbation et de désactiver le filtrage des SID (comme indiqué dans la procédure pour ADMT).

1er BUG : la gestion des zones DNS secondaire avec Windows 2008 est buguée. En effet pour établir ma relation d’approbation, sur le serveurs DNS du domaine source, je crée une zone DNS secondaire qui me permet de récupérer tous les enregistrements DNS du domaine cible. Sur les serveurs DNS du domaine cible, je crée une zone secondaire qui me permet de récupérer tous les enregistrements du domaine source.
Et là suprise, ma relation d’approbation qui fonctionnait très bien se met à déconner complètement.
Je regarde le contenu de la zone DNS et je vois qu’elle est presque vide (il me restait qu’un seul enregistrement !!!).
En fait le transfert de zone DNS peut échouer avec Windows 2008. Microsoft a écrit une KB à ce sujet. Voir article ci dessous :
http://support.microsoft.com/kb/953317/en-us

2ème BUG : j’utilise une version française de Windows (ne jamais utiliser une version française de Windows 2008 en production).
Pour utiliser la fonctionnalité de SID HISTORY, il est nécessaire de désactiver la fonction de filtrage des SID au niveau de la relation d’approbation. Pour cela, on utilise la commande NETDOM.
Hors sur la version française de Windows 2008, Microsoft a eu la bonne idée de traduire un bout de la commande (ne jamais utiliser une version française de Windows 2008 en production).
Exemple de la commande :
Netdom trust cible.local /domain:source.local /twoway /quarantine:no
/usero:administrateur /passwordo:P@ssword

La commande ci dessous permet de désactiver le filtrage des SID au niveau d’une relation d’approbation.
Sous Windows 2003 Server, cela me renvoie la réponse suivante :
Setting the trust to not filter SIDs.
Le filtrage des SID est effectivement désactivé. On peut le voir au niveau des propriétés de la relation d’approbation dans la console « Domaine et Approbation Active Directory« .

Sous Windows 2008, je me prends le message suivant :
Le filtrage des SID est activé pour cette approbation. Seuls les SID du domaine approuvé seront acceptés pour les données d’autorisation renvoyés au cours de l’authentification. Les SID des autres domaines seront supprimés.
Et effectivement, le filtrage des SID reste actif !!!!!!!!!

En fait il s’agit d’un bug car les développeurs de NETDOM ont francisés la commande. Il faut taper ceci :
Netdom trust cible.local /domain:source.local /twoway /quarantine:non
/usero:administrateur /passwordo:P@ssword

 
Merci à ce blog grâce à qui j’ai trouvé cette information :
http://blogcastrepository.com/blogs/benoits/default.aspx

Pour information, l’article Technet qui explique comment désactiver le filtrage des SID a été  tellement bien écrit que j’ai rien compris. Je vous conseille cette autre article technet pour mieux comprendre comment désactiver le filtrage des SID (et comprendre qui est usero et userd…)
http://technet.microsoft.com/en-us/library/cc835085(WS.10).aspx

A+ pour autres choses que des bugs j’espère !

À propos de Guillaume Mathieu

Consultant - Formateur chez PROSERVIA (Pôle Conseil Expertise)
Ce contenu a été publié dans Active Directory, ADMT, Bug, Exchange, Windows Server 2008, avec comme mot(s)-clef(s) , , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.

2 réponses à Bugs en série sur Windows Server 2008 -> vivement le service pack 2 !

  1. Ping : Msreport » Archive du blog » Complément d’informations pour concevoir son architecture Active Directory MAJ 30/09/2008

  2. Admin dit :

    N’oublier pas aussi d’autoriser le SID History.
    Ce n’est pas le cas pour les relation d’approbation inter-forêt !

    netdom trust cible.lan /domain:source.lan /EnableSidHistory:yes /usero:administrateur /passwordo:P@ssword

    A faire des deux côtés
    Enabling SID history for this trust.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*


neuf × = 27

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>