Mise en oeuvre de la redirection de dossiers avec fichiers hors connexion (MAJ 02/09/2014)

Bonjour

Cet article a pour but d’expliquer :
– Le principe de la redirection de dossier et des fichiers hors connexion.
– Comment préparer l’environnement de tests.
– Comment configurer la fonctionnalité de redirection de dossiers.
– Comment fonctionne et comment configurer la fonctionnalité de fichiers hors connexion.
– Test de la solution et retour d’expérience
– Comment changer de répertoire pour les fichiers connexions tout en conservant le cache hors connexion

1. Le principe de la redirection de dossier et des fichiers hors connexion
1.1 La redirection de dossier

Un des défis des administrateurs Windows est la sauvegarde des données d’entreprise situées sur les stations de travail des utilisateurs.
La redirection de dossier permet justement de rediriger des dossiers comme Mes Documents, le Bureau (où les utilisateurs stockent généralement leurs données) vers des emplacements réseaux (les serveurs de fichiers de l’entreprise). La fonctionnalité de redirection de dossier permet ainsi de s’assurer que toutes les données des utilisateurs sont hébergées sur des serveurs de l’entreprise. L’administrateur Windows pourra alors se concentrer sur la sauvegarde des serveurs de l’entreprise et s’affranchir d’un projet de sauvegarde des postes de travail de l’entreprise.

1.2 Les fichiers hors connexion
Dans l’exemple ci-dessous, l’administrateur Windows a redirigé le dossier Mes documents de tous ses utilisateurs. Mélanie dispose d’un ordinateur portable. Cette dernière ne peut pas accéder à son dossier Mes Documents quand elle travaille de chez elle et qu’elle n’a pas un accès aux serveurs de fichiers qui héberge son dossier Mes Documents. Pour permettre à Mélanie d’accéder à ses données de chez elle, l’administrateur Windows peut mettre en place la fonctionnalité de fichiers hors connexions.
Cette fonctionnalité permet en effet de télécharger automatiquement dans un cache les derniers fichiers ouverts, voir tous les fichiers / dossiers contenu dans le répertoire Mes Documents.

2. Préparation de l’environnement de tests
Pour tester la redirection de dossiers avec mise en œuvre des fichiers connexion, vous devez :
– Disposer d’un domaine Active Directory géré par un contrôleur de domaine Windows 2008 R2 ou version ultérieure qui sert aussi de serveurs de fichiers. Cela marche aussi avec un domaine géré par des contrôleurs de domaine Windows 2003, mais il faut éditer les GPO à partir d’une machine Windows 7 / Windows 2008 R2 membre du domaine.
– Disposer de 2 stations de travail Windows 7 SP1 appelées Win7a et Win7b.
– Créer un compte utilisateur appelé mélanie.mathieu
– Créer une OU appelée Msreport et déplacer le compte utilisateur melanie.mathieu et les comptes ordinateur Win7a et Win7b dans cette OU.
– Créer un objet GPO appelé « Msreport-FolderRedirection » et lié cet objet à l’OU Msreport.

MAJ 02/09/2014
Vous devez déployer sur la station de travail Windows 7 SP1 les mises à jour suivantes :
– La KB 2523887 (http://support.microsoft.com/kb/2523887/en-us) permet de corriger des problèmes quand on définit des quotas pour les utilisateurs.
– La KB 2561708 (http://support.microsoft.com/kb/2561708/en-us) permet de corriger des problèmes de synchronisation avec les fichiers hors connexion.
– La KB 2525332 (http://support.microsoft.com/kb/2525332/en-us) permet de corriger des problèmes de lenteur d’ouverture de session lors de la synchronisation des fichiers hors connexion.
– La KB 927229 (http://support.microsoft.com/kb/977229/en-us) permet de corriger des problèmes de synchronisation quand l’utilisateur n’est pas administrateur de sa machine et que l’emplacement des fichiers cible a changé. Ce correctif est inclus dans le SP1 de Windows 7.
– La KB 2610379 (http://support.microsoft.com/kb/2610379) permet de faire fonctionner le renommage des dossiers hors connexion en cas de changement du nom du partage / serveur d’espace de noms. Elle est plus que recommandée.

3. Comment configurer la fonctionnalité de redirection de dossiers
La mise en œuvre de la fonctionnalité de redirection de dossiers se fait en 3 étapes :
– La création d’un groupe de sécurité local de domaine appelé Redirection-MesDocuments
– La création et le partage du dossier qui va héberger le dossier Mes Documents des utilisateurs (Mélanie.mathieu dans ce cas).
– La création d’un objet GPO où l’on va définir les paramètres de redirection de dossiers pour les utilisateurs.

3.1 Créer le groupe de sécurité pour contrôler la redirection de dossier
Créer un groupe local de sécurité appelé Redirection-MesDocuments.
La redirection d’un dossier peut maintenant en effet être configurée via une appartenance à un groupe.

3.2 Création et partage du dossier qui va héberger le dossier Mes Documents des utilisateurs
Je vous invite à lire pour cela les articles suivants :
http://technet.microsoft.com/fr-fr/library/jj649078.aspx
http://support.microsoft.com/kb/2512089
Les informations dans ces 2 articles peuvent sembler contradictoires. Il faut bien laisser les permissions « List folder / read data » et « Create folders / append data » sur «This folder only ». En effet l’utilisateur disposera de permissions complètes sur son dossier Mes Documents redirigés. De ce fait la mise en cache hors connexion des données fonctionnera correctement. Si l’on veut que les administrateurs accèdent aux dossiers, il faut leur donner le droit d’accéder sur le dossier et tous les sous-dossiers / fichiers contrairement à ce qui est expliqué dans l’article http://technet.microsoft.com/fr-fr/library/jj649078.aspx.
Créer le dossier c:\Redirection-MesDocuments.
Désactiver l’héritage pour déléguer des droits personnalisés sur ce dossier.
Aller dans l’onglet Sécurité puis cliquer sur Advanced.
Cliquer sur le bouton « Disable inheritance » et cliquer sur « Convert inherited permissions into explicit permissions on this object ».
Les permissions sont maintenant définies explicitement sur le dossier.
Aller dans les permissions NTFS avancées.
Supprimer le groupe « Utilisateurs ».
Le groupe Redirection-MesDocuments doit avoir les permissions « List folder / read data » « Create folders / append data ». Ces 2 permission ne doivent être appliquées que sur le dossier racine et ne doit pas être propagée. Pour cela, il faut aller dans les permissions NTFS avancées et sélectionner « This folder only ». Faire OK plusieurs fois pour enregistrer le changement.
Aller dans les propriétés du dossier puis dans l’onglet « Sharing ».
Cliquer sur « Advanced Sharing ».
Partager le dossier en Redirection-MesDocuments$ (partage masqué).
Cliquer sur le bouton « Permissions » et définir « Contrôle Total » pour « Authenticated users » (Utilisateurs authentifiés en français).
Cliquer sur le bouton « Caching » et sélectionner le choix « All files and programs that users open from the shared folder are automatically available offline ».
Vérifier l’accès aux dossiers partagés. Dans notre cas : \\DCQUALIF2\Redirection-mesDocuments$.

3.3 Création d’un objet GPO où l’on va définir les paramètres de redirection de dossiers pour les utilisateurs
Créer une GPO dédiée pour la redirection de dossier.
En effet la méthode la plus simple pour supprimer la redirection de dossiers est de supprimer complètement l’objet GPO. Dans le cas contraire, il faut éditer manuellement les objets GPC (objet dans le conteneur système à la racine du domaine) / GPT (fichiers dans le dossier c:\windows\Sysvol\Sysvol) correspondant à la GPO car il reste des traces de la redirection de dossiers après désactivation.
Editer l’objet GPO appelé « Msreport-FolderRedirection ».
Aller dans « User Configuration | Windows Settings | Folder redirection » et faire un clic droit sur l’élément Mes Documents.
Dans l’onglet « i », sélectionner « Advanced – Specify locations for various users groups »
Ajouter le groupe de sécurité Redirection-MesDocuments.
Donner le chemin UNC pour le partage : \\DCQUALIF2\Redirection-mesDocuments$
Si vous voulez que les administrateurs puissent accéder aux dossiers redirigés, décocher la case « Grant The user exclusive rights to Documents ». En cas de changements, ce paramètre n’est pris que pour les nouveaux dossiers redirigés !
Sélectionner le paramètre « Redirect the folder back to the local userprofile location when policy is removed ». Si la stratégie de groupe est supprimée ou si l’utilisateur est exclu du groupe, les données sont recopiées du serveur vers la station de travail. Cliquer sur Apply puis sélectionner Yes.

La redirection de dossier se configure aussi à l’emplacement suivant au niveau des GPO :
User Configuration | Administratives Templates | System | Folder Redirection.
Si vous souhaitez créer une copie hors connexion du dossier Mes Documents (redirigé sur \\DCQUALIF2\Redirection-mesDocuments$), configurer les paramètres de GPO suivant :
– Désactiver le paramètre « Do not automatically make all redirected folders available offline ». Si vous activez ce paramètre, il faut installer la KB 2525332 (http://support.microsoft.com/kb/2525332/en-us).
– Désactiver le paramètre « Use localized subfolder names when redirectong Start Menu and My documents ». Cela permettra d’éviter des problèmes si vous utilisez des stations de travail installées dans différentes langues.
On notera qu’il existe d’autres paramètres de GPO spécifiques aux stations de travail sous Windows 8 qui permettent de changer l’emplacement du dossier où est redirigé le dossier Mes Documents des utilisateurs (paramètre de GPO « Enable optimized move of contents in Offline files cache on Folder Redirection server path change ».)

4. Comment fonctionne et comment configurer la fonctionnalité de fichiers hors connexion ?
Je préfère être très clair, la fonctionnalité « Fichiers hors connexions » est complexe. Je vous invite pour commencer à lire l’article suivant :
http://helgeklein.com/blog/2012/04/windows-7-offline-files-survival-guide/

4.1 Comment configurer les fichiers hors connexions ?
La fonctionnalité « Fichiers hors connexions » se configure par GPO. Editer l’objet « Msreport-FolderRedirection ». Attention certains paramètres existent pour Windows 7 et d’autres pour Windows XP ou Windows 8. Il faut configurer que les paramètres pour Windows 7 dans notre cas.
Aller dans Computer Configuration | Administrative Templates | Network | Offlines Files et configurer les paramètres suivants.
– Action on server disconnect : ce paramètre force le comportement en cas de perte de la connectivité au serveur où sont stockés les données redirigés. Il doit être activé.
– Allow or Disallow use of Offline Files feature : ce paramètre permet de forcer l’activation des fichiers hors connexion. Les utilisateurs ne peuvent plus désactiver les fichiers hors connexions.
– Enable file screens : ce paramètre permet de bloquer certains types de fichiers. Il peut être intéressant de bloquer les fichiers AVI par exemple.
– Encrypt the Offline file cache : je vous préconise de désactiver ce paramètre. Certains de mes clients ont rencontré des problèmes d’accès refusé lors de la consultation du cache en mode hors connexion. Je vous invite plutôt à utiliser des outils pour chiffrer les disques comme Bitlocker ou TrueCrypt si vous souhaitez réellement protéger les données sur les stations de travail.
– Turn on economical applicationof administratively assigned Offline Files : activer ce paramètre pour optimiser la synchronisation des fichiers hors connexion.
– Limit disk space used by Offline files : ce paramètre permet de limiter l’espace occupé par les fichiers hors connexion. Par défaut, il n’y a pas de limite pour les fichiers mis en cache définis par l’administrateur réseau (via le paramètre de GPO Specify administratively assigned Offline files) et une limite de 25% pour les autres fichiers hors connexion.
– Configure Slow-Link mode et Configure Background Sync : le premier paramètre permet de définir en fonction du débit et de la latence entre le client et le serveur qui héberge les répertoires quand la station de travail passe en mode « Slow-Link ». Le second permet de configurer comment une station de travail synchronise les fichiers hors connexion en mode « Slow-Link » uniquement. En mode « Slow-Link, les utilisateurs peuvent travailler sur le cache hors connexion et synchroniser périodiquement les fichiers sur le serveur.
Le mode Slow link pose des problèmes si vous utilisez un chemin DFS pour héberger les dossiers redirigés. Je vous invite à lire l’article suivant :
http://blogs.technet.com/b/askds/archive/2011/12/14/slow-link-with-windows-7-and-dfs-namespaces.aspx
Pour synthétiser je vous invite à définir les paramètres de latence / bande passante suivants si vous disposer d’un espace de noms (racine) appelé Msreport dans un domaine Active Directory appelé msreport.intra.
\\msreport.intra\Msreport : Latence à 32000 ms
\\msreport.intra\Msreport\\Redirection-mesDocuments : latence à 60ms et débit à 192 Kb.
Il est important de définir une latence / débit pour la racine DFS pour éviter de passer en mode Slow link pour toutes les cibles DFS autres que celle qui héberge le dossier « Mes Documents » des utilisateurs.
Aller dans User Configuration | Administrative Templates | Network | Offlines Files et configurer le paramètre suivant :
– Specify administratively assigned Offline Files : ce paramètre permet de forcer la mise en cache hors connexion de certains partages. Dans notre cas, on force la mise en cache du partage où sont stockés les dossiers Mes Documents des utilisateurs.
Value name : \\DCQUALIF2\Redirection-mesDocuments$

4.2 Test des fichiers hors connexions et de la redirection de dossiers
Ouvrir une session avec le compte mélanie.mathieu
On doit voir le dossier Mes Documents avec un icône rond vert avec des flèches. Cela indique que le dossier est redirigé. Aller dans les propriétés du dossier Mes Documents. Ce dernier pointe vers l’emplacement « \\DCQUALIF2\Redirection-mesDocuments$\melanie.mathieu ».
Quand on crée des dossiers / fichiers, ils sont créés sur le serveur et mis dans le cache.
Pour visualiser le cache, aller dans « Control Panel | Sync Center ». Cliquer sur « Manage offline files » puis dans l’onglet « General » cliquer sur « View your offline files ». On peut voir le contenu du cache.
Le bouton « Work offline » et « Work online” est disponible au niveau des sous dossiers dans Mes Documents. Il permet de forcer le passage en mode hors connexion.
Débrancher le câble réseau de la station de travail Windows 7 et accéder aux dossiers Mes Documents. La machine attend pendant 30 secondes et affiche mes documents.
Je peux ouvrir, modifier ou supprimer les fichiers. La barre d’état m’indique que je suis hors connexion. Les boutons « Work offline » et « Work online” ne sont plus disponibles au niveau du dossier Mes Documents.
Reconnecter la carte réseau. La machine ne bascule pas automatiquement en mode en ligne.
Il faut redémarrer pour que cela soit effectué tout de suite ou attendre 5minutes.
Tout le contenu du dossier « Mes Documents » est mis en cache. Cette action est effectuée après l’ouverture de session en arrière-plan. Si vous disposez de 50 Go de données dans « Mes Documents », les 50 Go seront copiés sur la station de travail en mode hors connexion.

4.3 Où se trouve le cache hors connexion sur une station de travail et comment le réinitialiser ?
Le cache des fichiers hors connexion se trouve dans C:\Windows\CSC.
Il est donc complètement indépendant du profil de l’utilisateur qui se trouve dans c:\users sous Windows 7.
Pour visualiser le contenu du cache hors connexion, taper la commande suivante :
Takeown /r /f C:\Windows\CSC. Cliquer sur Yes pour remplacer les permissions.
Ouvrir le dossier C:\Windows\CSC\v2.0.6\namespace\DCQUALIF2\Redirection-mesDocuments$\melanie.mathieu\Documents
On retrouve le contenu du cache de mélanie. Mathieu pour le dossier MesDocuments.
Supprimer le profil mélanie.mathieu sur Win7a. On va appliquer la procédure expliquée dans l’article http://support.microsoft.com/kb/942974/en-us
Pour cela, ouvrir une session avec un autre compte administrateur.
Aller dans Control Panel. Cliquer sur View by « Small icons ». Double cliquer sur « System » puis cliquer sur « Advanced system Properties ». Aller dans l’onglet « Advanced » puis cliquer sur le bouton « Settings » à droite de « Users profiles ». Supprimer le profil de melanie.mathieu en le sectionnant puis en cliquant sur « Delete ».
Exécuter de nouveau la commande suivante :
Takeown /r /f C:\Windows\CSC.
On peut voir que les données en cache pour le profil mélanie.mathieu sont toujours présentes.
On va maintenant réinitialiser complètement le cache des fichiers hors connexions en créant cette entrée de registre.
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CSC\Parameters
L’entrée de registre à créer s’appelle « FormatDatabase » (type DWORD) et doit être à la valeur 1.
Devenez propriétaire des fichiers dans C:\Windows\CSC\v2.0.6\namespace\DCQUALIF2\Redirection-mesDocuments$\melanie.mathieu\ et les supprimer. Attention changer les droits au niveau des fichiers hors connexion va corrompre le cache hors connexion.
Redémarrer la machine et ouvrir la session avec un utilisateur administrateur local qui n’a pas le dossier Mes Documents redirigé. On constate que le cache hors connexion recrée les fichiers.
Cette procédure est pour tester / comprendre le fonctionnement des fichiers hors connexion. Elle ne doit pas être appliquée sur la production car elle bloque le fonctionnement des fichiers connexions.

Une autre solution pour voir le contenu du cache hors connexion et de lancer un invite de commande en SYSTEM avec PSEXEC
PsExec.exe -i -s -d cmd
Je vous invite à télécharger l’outil et lire la solution détaillée à cette adresse :
http://blogs.technet.com/b/askds/archive/2008/10/22/getting-a-cmd-prompt-as-system-in-windows-vista-and-windows-server-2008.aspx

Taper ensuite la commande suivante :
c:\Windows\CSC\v2.0.\namespace\CMLDCQUALIF\Mes Documents$\dominique.mathieu\Documents
Il n’est pas possible de naviguer dans tout le cache car on a parfois l’erreur suivante :
The process cannot access the file because it is being used by another process.
Cependant en utilisant la touche TAB du clavier, Windows nous liste comme même le contenu du dossier. Il est possible d’aller dans les sous niveau
Exemple :
Accès autorisé à c:\Windows\CSC\v2.0.6\namespace\CMLDCQUALIF2\MesDocuments2$\dominique.mathieu
Accès bloqué à c:\Windows\CSC\v2.0.6\namespace\CMLDCQUALIF2\

Pour plus d’informations, je vous invite à lire les articles suivants :
http://community.spiceworks.com/topic/192396-folder-redirection-keeps-changing-server-path
http://blog.abdullahraz.com/2013/05/how-to-move-sync-offline-files-to.html

4.4 Quels sont les impacts des fichiers hors connexions ?
L’impact des fichiers hors connexions sur les stations de travail dépend du mode dans lequel la station de travail se trouve.
En mode en ligne, les fichiers sont modifiés sur le serveur et sur le cache local, ce qui génère plus de charge en écriture. Je vous invite à lire l’article suivant qui mesure l’impact précis sur les performances.
http://helgeklein.com/blog/2013/02/performance-impact-of-windows-offline-files/

4.5 Retour d’expérience sur les fichiers hors connexion et la redirection de dossiers
J’ai rencontré quelques problèmes avec les fichiers hors connexions
– La fonctionnalité « Fichiers hors connexion » ne fonctionne plus. Les commandes comme synchroniser les fichiers hors connexions ne sont plus disponibles. Au niveau du « Sync center », on a le message suivant « Offline Files is enabled but not yet active ». On a ce problème quand on a personnalisé les permissions de C:\windows\csc. Il faut désactiver les fichiers connexions sur la machine puis redémarrer. Au redémarrage, ouvrir une session avec un compte administrateur. Devenir le propriétaire du dossier C:\windows\CSC et propager le changement aux dossiers enfants. Vérifier qu’on a le droit contrôle Total et supprimer le dossier c:\windows\CSC. Réactiver les fichiers hors connexions et redémarrer. La procédure détaillée est disponible à cette adresse : http://answers.microsoft.com/en-us/windows/forum/windows_7-files/offline-files-in-windows-7-will-not-activate/e893e649-369a-4334-85d2-34ef5b248285 .
– Lorsque l’on définit des quotas, les fichiers hors connexions ne répliquent plus si le quotas est dépassé.
– Le bouton « Work online » / « Work offline » non disponible. Ce problème est expliqué dans l’article Microsoft suivant : http://support.microsoft.com/kb/2512089.
– Problèmes d’accès refusé quand on accède au cache hors connexion. Ce problème se pose si on active le chiffrement des fichiers hors connexions. http://answers.microsoft.com/en-us/windows/forum/windows_7-files/offline-files-access-is-denied/b1adc231-a4c2-4a5b-80b8-93269851febf
– Les conflits au niveau de la synchronisation. Si on travaille avec deux ordinateurs portables hors connexion qui ont ouverts une session avec le même compte, il peut y avoir conflits.
Pour générer un conflit :
Passer les deux machines en mode hors ligne. Modifier le même fichier sur ces deux machines et les repasser en ligne. Lancer le gestionnaire de synchronisation.

5. Changement l’emplacement sur le serveur du dossier qui heberge le dossier Mes Documents tout en conservant son cache hors connexion
MAJ : 02/09/2015.
Il faut appliquer la procédure suivante :
http://support.microsoft.com/kb/977229/en-us
Les machines sous Windows 7 SP0 doivent appliquer ce correctif de sécurité de l’article http://support.microsoft.com/kb/977229/en-us et de l’article http://support.microsoft.com/kb/2610379.

Attention, il faut cocher la case « Move the contents of Documents to the new location » au niveau des paramètres de la stratégie de redirection de dossiers.

Attention si vous modifiez juste le nom du partage / espace de noms DFS mais que l’emplacement physique reste le même, vous risquez de perdre des données. Pour éviter cela, il faut activer cette GPO “Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer\Verify old and new folder redirection targets point to the same share before redirecting“. Je vous invite à lire la KB http://support.microsoft.com/kb/2610379.

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

 

Publié dans Windows Server 2008 | Un commentaire

Dépannage DNS / AD avancé –> correction de l’erreur « The replication scope could not be set. For more information, see Dns zone replication in Active Directory in Help and Support. The error was There was a server failure »

Salut à tous

Cet article a pour but d’expliquer :
– Le découpage en contexte de nommage (partitions) d’un annuaire Active Directory.
– Comment sont hébergées les zones DNS et les entrées DNS sur un serveur Windows 2003 et versions ultérieures.
– Comment corriger le problème des zones DNS ForestDNSZones et DomainDNSZones manquantes / corrompues.

Pour effectuer toutes les manipulations expliquées dans cet article, vous devez :
– Disposer d’un domaine Active Directory (1 forêt / 1 domaine) avec 2 contrôleurs de domaine Windows 2003 ou versions ultérieures. Seul le premier contrôleur de domaine doit être serveur DNS. Les deux contrôleurs de domaine doivent être serveur de catalogue global.
– Installer les Supports Tools (contient des outils comme DCDIAG, REPADMIN, ADSIEDIT). Ces derniers sont installés de base sous Windows 2008 R1 et versions ultérieures. Ils sont disponibles sur le CD1 d’installation de Windows 2003 ou téléchargeables à l’adresse suivante :
http://www.microsoft.com/en-us/download/details.aspx?id=15326

1. Le découpage en contexte de nommage d’un annuaire Active Directory
Un annuaire Active Directory est une base LDAP.
Afin d’optimiser la réplication de son annuaire, Microsoft l’a découpé en partition ou contexte de nommage. Pour visualise les partitions d’annuaire, appliquer la procédure suivante :
Ouvrir la console ADSIEDIT (adsiedit.msc)
Faire un clic droit sur ADSIEDIT et cliquer sur « Connect to ».
Sélectionner « Select a well known Naming Context:» et sélectionner « Configuration ».
Aller dans CN=Partitions
Il est alors possible de voir tous les contextes de nommage / partitions avec leur chemin LDAP.
Un annuaire Active Directory dispose toujours d’une partition de domaine par domaine et d’une partition DomainDNSZones par domaine, d’une unique partition de Configuration, d’une unique partition de schéma, et d’une unique partition ForestDNSZones.
Une forêt avec 1 domaine contient donc par défaut 5 contextes de nommage / partitions.
Une forêt avec 2 domaines contient donc par défaut 7 contextes de nommage / partitions.
Une forêt avec 3 domaines contient donc par défaut 9 contextes de nommage / partitions.
Remarque : en cliquant sur le bouton Advanced dans la console ADSIEDIT, il est possible de se connecter sur le CATALOG GLOBAL et non sur les partitions / contexte de nommage.
Cela peut être utile si vous voulez connaître le contenu du catalogue global qui pour rappel est une copie partielle (seulement certains attributs) de tous les objets de tous les contextes de nommage.

La commande repadmin /showrepl permet aussi de valider le bon fonctionnement de la réplication pour chaque contexte de nommage.
En effet lorsque l’on rencontre des problèmes de réplication, ce n’est pas forcément tous les contextes de nommage qui ne répliquent plus.
Remarque : la commande repadmin /showrepl affiche uniquement les contextes de nommage ForestDNSZones et DomainDNSZones si le contrôleur de domaine est serveur DNS.

Résultat de la commande (domaine proservia.intra):
Default-First-Site-Name\CMLDCQUALIF1
DC Options: IS_GC
Site Options: (none)
DC object GUID: 9ca7500c-d61d-4f9d-9386-e61cfeaa5802
DC invocationID: 9ca7500c-d61d-4f9d-9386-e61cfeaa5802

==== INBOUND NEIGHBORS ======================================

DC=msreport,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:48:11 was successful.

CN=Configuration,DC=proservia,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:48:30 was successful.

CN=Schema,CN=Configuration,DC=proservia,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:34:11 was successful.

DC=DomainDnsZones,DC=proservia,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:49:11 was successful.

DC=ForestDnsZones,DC=proservia,DC=intra
Default-First-Site-Name\DC2003B via RPC
DC object GUID: 9f445e7c-7dc2-4fef-86e4-40475276f555
Last attempt @ 2014-08-10 15:49:11 was successful.

2. Comment sont hébergées les zones DNS et les entrées DNS sur un serveur Windows 2003 et versions ultérieures ?
En terme Microsoft, on dit que la zone est intégrée ou non intégrée à l’annuaire Active Directory. Dans l’exemple ci-dessous la zone principale MSREPORT.INTRA a été créée sur le serveur DNS et n’est pas intégrée à l’annuaire Active Directory.
Le fichier MSREPORT.INTRA.DNS a été créé dans le dossier c:\windows\system32\dns.

Contenu de fichier MSREPORT.INTRA.DNS (le serveur DNS s’appelle dc2003b.proservia.intra)
;
; Database file msreport.intra.dns for msreport.intra zone.
; Zone version: 2
;
@ IN SOA dc2003b.proservia.intra. hostmaster.proservia.intra. (
2 ; serial number
900 ; refresh
600 ; retry
86400 ; expire
3600 ) ; default TTL
;
; Zone NS records
;
@ NS dc2003b.proservia.intra.
;
; Zone records
;
www A 192.168.99.211

La zone DNS MSREPORT.INTRA va maintenant être intégrée à l’annuaire Active Directory.
Ouvrir la console DNS (DNSMGMT.MSC).
Aller dans les propriétés de la zone DNS MSREPORT.INTRA.
Dans l’onglet « General », cliquer sur le bouton « Chang e » à droite de « Type **** » et cocher la case « Store the zone in Active Directory (available only if DNS server is a domaine controller) ».
Le fichier c:\windows\system32\dns\msreport.intra.dns est alors supprimé.

Toujours dans l’onglet « General » dans les propriétés de la zone DNS MSREPORT.INTRA, cliquer sur le bouton « Change » à droite de « Replication ****» et sélectionner « To all DNS servers in the Active Directory forest proservia.intra ». La zone DNS est alors hébergée au niveau de la ForestDNSZones.
Nous allons maintenant nous connecter à cette partition pour en voir le contenu et comment la zone et les entrées DNS y sont hébergées.
Lancer la console ADSIEDIT.MSC.
Faire un clic droit sur ADSIEDIT et cliquer sur « Connect to ».
Sélectionner « Select or type a Distinguised name or Naming Context :» et entrer le chemin LDAP suivant pour se connecter au contexte de nommage ForestDNSZones. Dans l’exemple ci-dessous le domaine s’appelle PROSERVIA.INTRA Pour se connecter à la ForestDNSZones, il faut donc taper :
DC=FORESTDNSZONES,DC=PROSERVIA,DC=INTRA
Développer le contenu de la partition ForestDnsZones.
Les zones DNS sont dans le conteneur CN=MicrosoftDNS.
On peut constater que les zones DNS sont des objets de la classe « dnsZone ».
Les entrées DNS sont des objets de la classe « dnsNode ».
Une entrée DNS réplique donc comme un compte utilisateur via le mécanisme de réplication d’Active Directory. C’est ce qui permet aux serveurs DNS Microsoft de disposer de plusieurs serveurs DNS en lecture / écriture.

Retourner dans les propriétés de la zone MSREPORT.INTRA. Dans l’onglet « General » dans les propriétés de la zone DNS MSREPORT.INTRA, cliquez sur le bouton « Change » à droite de « Replication ****» et sélectionnez « To all DNS servers in the Active Directory domain proservia.intra ». La zone DNS est maintenant hébergée au niveau de la DomainDnsZones.
Pour visualiser le contenu de cette zone, appliquer la même procédure que ci-dessus. Le chemin de la DomainDnsZones est (exemple d’un annuaire proservia.intra) :
DC=DomainDnsZones,DC=PROSERVIA,DC=INTRA.

Retourner dans les propriétés de la zone MSREPORT.INTRA. Dans l’onglet « General » dans les propriétés de la zone DNS MSREPORT.INTRA, cliquez sur le bouton « Change » à droite de « Replication ****» et sélectionnez « To all domain controllers in the Active Directory domain proservia.intra ». La zone DNS est hébergée dans le conteneur System de la partition de domaine msreport.intra.
Pour visualiser le contenu des zones DNS, lancer la console Active Directory Users and Computers (dsa.msc). Aller dans le menu « View » et cliquer sur « Advanced Features ».
Cliquer sur « System | Microsoft Dns ». On retrouve les zones DNS (objet dnsZone) et à l’intérieur les entrées DNS sous forme d’objets Active Directory dnsNode.

3. Comment corriger le problème des zones DNS ForestDNSZones et DomainDNSZones manquantes / corrompues
Maintenant que nous avons vu les notions théoriques, nous allons pouvoir résoudre ensemble un incident fort complexe rencontré chez plusieurs de mes clients.

3.1 Description du problème :
Toutes les zones DNS étaient intégrées dans l’annuaire Active Directory et étaient configurées pour répliquer au niveau de la partition de domaine dans le conteneur système (choix 3 : To all domain controllers in the Active Directory domain proservia.intra).
Lorsque j’ai essayé de déplacé les zones DNS dans la ForestDnsZones, j’ai rencontré l’erreur suivante : « The replication scope could not be set. For more information, see Dns zone replication in Active Directory in Help and Support. The error was There was a server failure ».
Lorsque j’essayais de me connecté sur la ForestDnsZones j’avais l’erreur suivante dans ADSIEDIT.
« A referal was returned from the server ».

3.2 Comment reproduire ce problème?
Ce problème provient du fait que la DomainDnsZones et la ForestDnsZones sont des partitions applicatives qui ne répliquent que sur des contrôleurs de domaine qui sont serveur DNS. Cette option est apparue avec Windows 2003 Server.
Pour reproduire le problème, il faut 2 contrôleurs de domaine et un serveur DNS en groupe de travail.
Seul le premier contrôleur de domaine doit être serveur DNS.
Faire pointer les deux contrôleurs sur le troisième serveur DNS.
Sur ce troisième serveur DNS, créer les zones DNS suivantes :
proservia.intra
_mdscs.proservia.intra
Autoriser les mises à jour dynamiques DNS sécurisées et non sécurisées.
Lancer les commandes suivantes sur les deux contrôleurs de domaine :
Ipconfig /registerdns
Net stop netlogon
Net start netlogon
Les entrées DNS correspondant aux 2 contrôleurs de domaine sont recréées sur le serveur DNS (troisième serveur DNS).

Sur le premier serveur, faire un DCPROMO /FORCEREMOVAL et arrêter cette machine. Un DCPROMO inverse classique échoue car le premier contrôleur de domaine n’arrive pas à répliquer les partitions (contextes de nommage) ForestDNSZones et DomainDNSZones sur le second contrôleur de domaine (ce dernier n’est pas serveur DNS).
Sur le second serveur, faire un NTDSUTIL avec l’option METADATA CLEANUP pour supprimer l’ancien contrôleur de domaine. Pour plus d’informations, voir: http://support.microsoft.com/kb/216498/en-us.
Une fois que tout est effectué, redémarrer le second contrôleur de domaine, et lui remettre le service DNS.
Créer une zone DNS. Intégrer la dans l’annuaire Active Directory et essayer de la faire répliquer dans la partition ForestDNSZones. Vous allez obtenir l’erreur ci-dessous :
The replication scope could not be set. For more information, see Dns zone replication in Active Directory in Help and Support. The error was There was a server failure ».
Si on regarde dans la partition de configuration (ADSIEDIT) dans le nœud CN=Partitions, on voir toujours les partitions ForestDNSZones et DomainDNSZones.
On rencontre généralement ce problème dans les environnements où les contrôleurs de domaine ne sont pas serveur DNS car le service DNS est géré par des équipements tiers comme les solutions d’EFFICIENTIP (http://www.efficientip.com/fr/).

3.3 Comment corriger ce problème ?
Vous devez disposer d’un PRA Active Directory (Forest Recovery) avant d’effectuer cette action. Je ne peux en aucun cas être tenu pour responsable en cas de problème. Je vous invite à ouvrir un incident chez Microsoft avant d’effectuer ces actions pour au moins valider la procédure.
Pour corriger le problème, il faut supprimer manuellement les partitions ForestDnsZones / DomainDnsZones et utiliser un l’outil DNSCMD pour les recréer.
Pour supprimer les partitions ForestDNSZones et DomainDNSZones (exemple avec le domaine msreport.intra)
Ouvrir une session avec un compte membre du groupe « Enterprise admins ».
Ouvrir l’invite de commande et taper les commandes suivantes sur le contrôleur de domaine Windows 2003 avec les rôles FSMO :
ntdsutil
metadata cleanup
connections
connect to server localhost
q
Select operation target
List Naming Contexts
select naming context 4
Q
remove selected naming context
Cliquer sur « Yes » pour supprimer la ForestDNSZones.
Dans mon cas, 4 correspond à la partition ForestDNSZones.

Faire la même chose pour la DomainDNSZones.
Select operation target
List Naming Contexts
select naming context 3
Q
remove selected naming context
Dans mon cas, 3 correspond à la partition DomainDnsZones (domaine proservia.intra).

Sous Windows 2008 R1 et versions ultérieures, cette méthode fonctionne aussi :
Partition management
Connections
Connect to server localhost
Q
Delete NC DC=DomainDnsZones,DC=proservia,DC=intra
Delete NC DC=ForestDnsZones,DC=proservia,DC=intra

Retourner dans la console ADSIEDIT dans le conteneur CN=Partitions.
Maintenant, votre annuaire n’a plus que 3 partitions (dans mon cas proservia.intra est un domaine unique dans une forêt).
Forcer des réplications pour que tous vos contrôleurs disposent plus que de 3 partitions. Je vous invite à attendre quelques heures.

On va maintenant recréer les partitions (contextes de nommage) ForestDnsZones à l’aide de la commande suivante :
Dnscmd /createbuiltindirectorypartitions /Forest
Dnscmd /createbuiltindirectorypartitions /Domain

Retourner dans ASIEDIT au niveau du conteneur CN=Partitions.
Vous devez maintenant voir de nouveau 5 partitions.
Vous devez pouvoir maintenant déplacer votre zone DNS dans la ForestDnsZones ou dans la DomainDnsZones.

Pour plus d’informations :
http://clintboessen.blogspot.fr/2011/07/replication-scope-could-not-be-set-for.html
http://blogs.technet.com/b/askds/archive/2012/01/23/3476532.aspx#dns

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Dns, Système, Troubleshouting | Laisser un commentaire

Utiliser ADMT 3.2 (nouvelle version) permet de migrer depuis ou vers des domaines gérés par des contrôleurs Windows 2012 R2 !

Salut à tous

Microsoft a mis en ligne une nouvelle version d’ADMT 3.2 le 12 juin 2014.
Cette version permet de prendre en charge la migration depuis et vers des domaines Active Directory géré par des contrôleurs de domaine Windows 2012 R2.
Vous trouverez ci-dessous le lien pour télécharger cette nouvelle version.
http://technet.microsoft.com/en-us/library/active-directory-migration-tool-versions-and-supported-environments(v=ws.10).aspx

On notera le fait que cette version est toujours estampillée 3.2.
La justification de Microsoft dans la documentation d’ADMT :
http://www.microsoft.com/en-us/download/details.aspx?id=19188
ADMT v3.2 has recently been updated and re-released. The version remains v3.2 because it’s functionally the same as its predecessor (that is, there are no new features). This final release includes various bug fixes and can be used with all supported Windows operating systems and versions of Windows Server Active Directory :
– The server where you install ADMT can run any supported version of Windows Server, including Windows Server 2012 R2 and Windows Server 2012.
– The source and target domain controllers must be writeable, but they can run any supported version of Windows Server with a user interface (not Server Core), including Windows Server 2012 R2 and Windows Server 2012.
– The source and target domains must be at Windows Server 2003 domain functional level or higher.
– The computers that can be migrated can run any supported version of Windows, including Windows 8.1.
– You can use any version of SQL Server for the ADMT database.
“.

A+

Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

ADMT v3.2 has recently been updated and re-released. The version remains v3.2 because it’s functionally the same as its predecessor (that is, there are no new features). This final release includes various bug fixes and can be used with all supported Windows operating systems and versions of Windows Server Active Directory:

Publié dans Active Directory, ADMT, Windows 2012 R2 | Marqué avec , | Laisser un commentaire

Comment installer et charger dans le même invite de commande PowerShell les commandes Lync Online et Lync On-Premise

Salut à tous

1. Objectifs:
– Voir comment installer les modules PowerShell Lync Online et Lync 2013 Server (On-Premise).
– Charger dans la même console PowerShell les commandes PowerShell Lync 2013 (on-Premise) et les commandes PowerShell Lync Online.

2. Installation des modules PowerShell:
Pour installer le module Powershell Lync 2013 On-Premise, il faut télécharger les sources d’installation Lync 2013 et installer les outils d’administration. Pour charger les commandes Lync 2013 On-Premise dans une invite de commande PowerShell standard, taper la commande suivante :
Import-Module ‘C:\Program Files\Common Files\Microsoft Lync Server 2013\Modules\Lync\Lync.psd1’
Le module PowerShell de Lync Online est disponible à cette adresse: http://www.microsoft.com/en-us/download/details.aspx?id=39366

A savoir :
le module PowerShell Lync Online ne fonctionne plus après installation du module Lync On-Premise.Ce problème est décrit dans l’article Microsoft suivant:
http://support.microsoft.com/kb/2955287/en-us

4.  De nombreuses commandes sont communes entre Lync Online et Lync On-Premise.
La commande Grant-CsConferencingPolicy -PolicyName POLICYARS -Identity $EmailUser -Confirm:$false permet par exemple d’activer / désactiver les options video / audio d’un utilisateur Lync. Hors, la commande est identique sous Lync Online et Lync On-Premise.

Astuce: il faut charger le module LyncOnline avec un prefix.  La commande Grant-CsConferencing devient par exemple Grant-LyncOnlineCsConferencing. Pour charger les commandes Lync Online avec un préfix, taper les commandes suivantes :
$session = New-CsOnlineSession
Import-PSSession $session -Prefix LyncOnline

A+

Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Bug, Lync, Office 365, Outils, PowerShell, Scripts, Troubleshouting | Marqué avec , , , , , | Un commentaire

Cannot enable DirSync on Office 365 tenant -> Correlation ID neu#340d7f2b-6ad2-4abc-8004-9e66c2dff2ca Error code 0

Salut à tous

Description du problème :
Impossible d’activer DirSync sur le tenant Office 365.
Depuis le site web Microsoft Online Portal, on obtient l’erreur suivante “Sorry we can’t process your request. We’re investigating right now. Please try again later. If the problem doesn’t go away, please submit a Service Request.
Support Information
Correlation ID:
neu#340d7f2b-6ad2-4abc-8004-9e66c2dff2ca
Error code
0

Explication du problème:
Ce problème se produit quand le domaine
mail.yourtenant.onmicrosoft.com se crée mal lors de l’activation de DirSync sur le tenant Office 365. Dans mon cas le tenant s’appelait msreport75.
La commande Get-MsolDomain (Windows Azure Active Directory PowerShell module) renvoyait que le domaine msreport75.mail.onmicrosoft.com était en statut “Unverified” (comme pour un domaine en cours d’ajout).
Pour information, ce domain msreport75.mail.onmicrosoft.com est créé lorsqu’on active DirSync sur le Tenant Office 365.

Comment corriger le problème :
Pour corriger le problème, se connecter en PowerShell sur l’annuaire Windows Azure (avec le module Windows Azure Active Directory PowerShell module) et lancer la commande suivante :
Remove-MsolDomain -DomainName msreport75.mail.onmicrosoft.com.
Activerde nouveau DirSync sur le tenant Office 365.

PS :
Je vous invite avant tout à ouvrir une Service Request. Le service Office 365 évolue très vite. ce qui est vrai aujourd’hui peut être faux demain.

A+

Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Annuaire, Office 365, Windows Azure Active Dirrectory | Laisser un commentaire