Tout sur les relations d`approbations (v2)

Tout sur les relations
d’approbations
(v2)
Tutorial conçu et rédigé par Michel de CREVOISIER – Septembre 2013
SOURCES
Relations d’approbation :
 http://www.labo-microsoft.org/articles/win/trust/
 http://technet.microsoft.com/en-us/library/cc730798.aspx
1
INDEX
SOURCES.............................................................................................................................................................. 1
INDEX................................................................................................................................................................... 2
Préambule ........................................................................................................................................................... 3
1.
2.
3.
4.
Approbations prédéfinies ........................................................................................................................... 4
1.1
Relations parents / enfants ................................................................................................................. 4
1.2
Relations d’arborescence .................................................................................................................... 8
1.3
Relations mixtes ................................................................................................................................ 12
Approbations raccourcies ......................................................................................................................... 13
2.1
Définition ........................................................................................................................................... 13
2.2
Schéma .............................................................................................................................................. 13
2.3
Création d’une relation d’approbation raccourcie ............................................................................ 14
2.4
Vérifications ....................................................................................................................................... 18
Approbations externes ............................................................................................................................. 19
3.1
Définition ........................................................................................................................................... 19
3.2
Schéma .............................................................................................................................................. 19
3.3
Résolution des noms DNS.................................................................................................................. 19
3.4
Création d’une relation d’approbation externe ................................................................................ 24
3.5
Vérifications ....................................................................................................................................... 35
Approbations de forêts............................................................................................................................. 36
2
Préambule
Ce tuto a pour objectif de vous présenter les différents types de relations qu’il peut exister au sein
d’une forêt ou d’un domaine. Notez toutefois que la tendance actuelle des « IT » est d’unifier au
maximum leurs structures Active Directory afin de faciliter sa gestion. Il convient néanmoins de
connaître le fonctionnement de ces différentes relations dans la mesure où vous pourriez être
confrontés à une réunification de plusieurs arborescences réparties sur plusieurs sites.
Par ailleurs, la connaissance du fonctionnement de certaines approbations est indispensable,
notamment dans le cas de migrations inter-forêt.
3
1. Approbations prédéfinies
Les approbations prédéfinies sont des approbations qui sont créées automatiquement durant les
processus d’extension de la forêt ou du domaine. Elles sont bidirectionnelles et transitives.
1.1 Relations parents / enfants
1.1.1 Définition
Lors de l’ajout d’un domaine enfant « France » à un domaine existant « Agglo », une relation
d’approbation est créée. La création d’un domaine enfant se fait obligatoirement sous la « tutelle »
d’un domaine parent. Le schéma ci-dessous représente cette situation :
1.1.2 Schéma
4
1.1.3 Création d’un domaine enfant
Pour ajouter un domaine enfant dans une forêt existante :
 Exécutez la commande dcpromo
 Sélectionnez l’option suivante :

Indiquez le nom du domaine parent pour lequel vous souhaitez créer un domaine enfant :
5

Indiquez pour terminer le nom du domaine enfant :
1.1.4 Vérifications
Pour visualiser et vérifier que la relation d’approbation parent/enfant a bien été créée :
 Ouvrez la console Active Directory Domains and Trusts
 Clic droit sur le domaine racine > Properties > Trusts
o Depuis la console du domaine parent « Agglo », vous apercevez le domaine enfant
« France » approuvé (relation entrante/sortante et transitive) :
6
o Depuis la console du domaine enfant « France », vous apercevez le domaine parent
« Agglo » approuvé :

Par ailleurs, si vous cliquez sur Properties à partir du domaine parent, vous obtenez les
informations suivantes :
7
1.1.5 Requête FSMO
Voici le résultat obtenue concernant la répartition des rôles FSMO à partir du serveur du domaine
enfant « France » :
netdom /query fsmo
1.2 Relations d’arborescence
1.2.1 Définition
Les relations d’arborescence sont les relations créées entre les racines de chaque arborescence avec
la racine de la forêt. En vulgarisant, on peut considérer cette action comme l’ajout d’une « sous
forêt » à une forêt existante. Dans notre cas nous allons ajouter une nouvelle racine d’arborescence
« Belgique » au sein de la forêt « Agglo ». Le schéma ci-dessous représente cette situation :
1.2.2 Schéma
8
1.2.3 Création d’une nouvelle arborescence
Pour créer une nouvelle arborescence au sein d’une forêt existante :
 Exécuter la commande dcpromo
 Sélectionnez l’option suivante :

Indiquez le nom de la nouvelle arborescence :
9
1.2.4 Vérifications
Pour visualiser et vérifier que la relation d’arborescence a bien été créée :
 Ouvrez la console Active Directory Domains and Trusts
 Clic droit sur le domaine racine > Properties > Trusts
o Depuis la console de la forêt racine « Agglo », vous apercevez la nouvelle racine
d’arborescence « Belgique » :
o Inversement depuis la console de la nouvelle racine d’arborescence « Belgique » :
10

Vous pouvez également vérifier cela à partir de la console Active Directory User and
Computers en vous dirigeant dans l’UO System (masquée par défaut) et en recherchant les
domaines ou forêt associés :
1.2.5 Requête FSMO
Voici le résultat obtenu concernant la répartition des rôles FSMO à partir du serveur d’arborescence
racine de la forêt « Belgique » :
netdom /query fsmo
11
1.3 Relations mixtes
A titre d’exemple, le schéma ci-dessous illustre un environnement Active Directory « mixte » avec
une racine d’arborescence « Belgique » et un domaine enfant « Canada », tous deux situés dans la
forêt racine « Agglo ».
12
2. Approbations raccourcies
2.1 Définition
Dans le cas d’une structure Active Directory complexe, il se peut que le calcul du chemin d’accès soit
extrêmement long en raison de l’imbrication de plusieurs domaines au sein de différentes
arborescences. Pour parer à ce problème, les relations raccourcies ont été introduites dans l’objectif
d’accélérer d’un point de vue réseau le processus d’authentification, et d’un point de vue temps le
calcul du chemin d’approbation le plus court. Source
Dans notre cas, nous allons créer une relation d’approbation raccourcies entre les domaines enfants
« France » et « Canada » situés dans la forêt « Agglo ». Ce type d’approbation peut également être
utilisé entre deux domaines situés dans des forêts différentes.
2.2 Schéma
13
2.3 Création d’une relation d’approbation raccourcie
Depuis le serveur du domaine enfant « Canada » :
 Ouvrez la console Active Directory Domains and Trusts
 Clic droit sur le domaine « Canada » > Properties > Trusts > New trust
 L’assistant suivant se lance :

Indiquez le nom du domaine enfant avec lequel vous souhaitez créer une relation
d’approbation raccourcie :
14

Choisissez ensuite le sens de la relation :

Etant donné qu’il s’agit d’une approbation mutuelle, choisissez l’option ci-dessous :
15

Renseigner le login du compte administrateur pour le domaine enfant « France » :

Un dernier message vous résume l’ensemble des actions qui vont être effectuées :
16

Il est suivi d’un autre message vous confirmant la création de l’approbation raccourcie :

Par la suite, vous devrez confirmer à deux reprises les approbations sortantes et entrantes :

Pour terminer, l’assistant vous informe du bon déroulement de la création de l’approbation :
17
2.4 Vérifications
Pour visualiser et vérifier que la relation d’approbation raccourcie a bien été créée :
 Ouvrez la console Active Directory Domains and Trusts
 Clic droit sur le domaine racine > Properties > Trusts
o Depuis la console du domaine enfant « France », vous obtenez les informations
suivantes :
o Il en est de même depuis la console du domaine enfant « Canada » :
18
3. Approbations externes
3.1 Définition
Une approbation externe permet de créer une approbation non transitive uni- ou bidirectionnelle,
avec un domaine situé à l’extérieur de la forêt. Elle permet ainsi aux utilisateurs d’avoir accès aux
ressources d’une autre forêt de façon totalement transparente. Ce type de relation est généralement
utilisé pour des migrations d’utilisateurs, pour l’accès à des ressources situées sur des domaines NT4
ainsi que pour des migrations Exchange. Source
3.2 Schéma
3.3 Résolution des noms DNS
Etant donné que nos deux forêts utilisent chacune leurs propres domaines de noms DNS, il est logique
que la forêt « Agglo » ne puisse pas résoudre le nom d’une machine située dans la forêt « Mairie »
(et inversement). Aussi, la première étape consistera à configurer chaque forêt afin qu’elle puisse
effectuer une résolution DNS à partie de la forêt distante.
Si vous souhaitez en savoir plus concernant le fonctionnement des zones DNS, je vous recommande
la lecture de mon tuto « Serveurs DNS redondants » disponible sur Scribd.
3.3.1 Activation du transfert de zone
Nous allons commencer par activer le transfert de zone pour les zones de la forêt « Agglo » :
 Ouvrez la console DNS de la forêt « Agglo »
 Clic droit sur la zone « _msdcs.agglo.com » > Properties > Zone transfers > Edit
 Ajoutez l’IP du contrôleur de domaine de la forêt distante « Mairie »
19
Répétez l’action pour la zone « agglo.com » :
 Clic droit sur la zone « agglo.com » > Properties > Zone transfers > Edit
 Ajoutez l’IP du contrôleur de domaine de la forêt distante « Mairie »
 Reproduisez ensuite ces points depuis la console DNS de la forêt « Mairie » (zones « mairie.com »
et « _msdcs.mairie.com ») en indiquant cette fois-ci l’IP du contrôleur de domaine de la forêt distante
« Agglo »
3.3.2 Réplication des zones
Maintenant que le transfert de zone est activé, nous allons créer dans la forêt « Mairie » deux zones
secondaires qui stockeront les enregistrements issus des zones DNS de la forêt distante « Agglo ».
Pour cela :
 Depuis la console DNS du contrôleur de domaine de la forêt « Mairie », clic droit sur Forward
lookup zones > New zone > Secondary zone
20

Indiquez le nom de la zone dont on souhaite récupérer les enregistrements DNS (en
l’occurrence « agglo.com ») :

Indiquez l’IP du serveur « agglo.com » :

Répétez ces étapes mais pour la zone « _msdcs.agglo.com »
21
 Si la réplication a bien fonctionné, la zone « agglo.com » ainsi que la zone « _msdcs.agglo.com »
apparaîssent dans l’aparté Forward lookup zones du contrôleur de domaine de la forêt « Mairie » :
 Répétez ensuite l’ensemble des actions précédentes mais depuis la forêt « Agglo ». Le résultat
doit être le suivant :
3.3.3 Configuration des suffixes DNS clients
Si vous souhaitez que vos postes clients puissent également résoudre les noms de clients situés dans
l’autre forêt, vous pouvez créer une GPO qui ajoutera localement les suffixes DNS des deux forêts.
Pour cela :
 Ouvrez la console Group Policy Management
 Créer une nouvelle GPO nommée « Suffixes DNS » et faites un clic droit > Edit
22

Naviguez dans : Computer Configuration > Policies > Administrative Templates > Network >
DNS Client

Double-cliquez sur DNS Suffix Search List et renseignez les noms des suffixes DNS. Prenez
soin d’indiquer en premier le suffixe de la forêt où s’applique la GPO :
23

Une fois la stratégie appliquée, vos postes clients doivent avoir la configuration DNS suivante
dans leurs paramètres TCP/IP :
3.4 Création d’une relation d’approbation externe
3.4.1 Depuis un Windows Server 2003 R2
Depuis le contrôleur de domaine 2003 de la forêt « Mairie » :
 Ouvrez la console Active Directory Domains and Trusts
 Clic droit sur le domaine « Mairie.com » > Properties > Trusts > New trust
 L’assistant suivant se lance :
24

Indiquez le nom de la forêt avec laquelle vous souhaitez créer une relation d’approbation
externe (en l’occurrence « Agglo.com ») :

Indiquez qu’il s’agit d’une relation bidirectionnelle :
25

Si vous souhaitez que la relation externe soit créée automatiquement dans les deux forêts,
choisissez la deuxième option. Dans le cas contraire, il faudra créer manuellement chaque
relation pour chacune des forêts :

Indiquez les identifiants pour le domaine « Agglo » :
26

Il est possible de spécifier que seuls les utilisateurs autorisés puissent s’authentifier sur le
domaine distant. Dans notre cas, nous choisirons d’autoriser tous les utilisateurs du domaine
distant :

Il en est de même pour ceux du domaine local :
27

Un écran vous résume les actions qui vont être effectuées :

A la suite, une fenêtre vous confirme que la création de la relation s’est bien déroulée :

Confirmez ensuite à deux reprises les approbations sortantes et entrantes :
28

Avant de quitter l’assistant, prenez note du message concernant le « SID filtering »
3.4.2 Depuis un Windows Server 2008 R2
Depuis le contrôleur de domaine 2008 de la forêt « Agglo » :
 Ouvrez la console Active Directory Domains and Trusts
 Clic droit sur le domaine « Agglo.com » > Properties > Trusts > New trust
 L’assistant suivant se lance :
29

Indiquez le nom de la forêt avec laquelle vous souhaitez créer une approbation de forêt (en
l’occurrence « Mairie.com » :

Indiquez qu’il s’agit d’une relation d’approbation externe :
30

Indiquez qu’il s’agit d’une relation bidirectionnelle :

Si vous souhaitez que la relation externe soit créée automatiquement dans les deux forêts,
choisissez la deuxième option. Dans le cas contraire, il faudra créer manuellement chaque
relation pour chacune des forêts :
31

Indiquez les identifiants pour le domaine « Mairie » :

Il est possible de spécifier que seuls les utilisateurs autorisés puissent s’authentifier sur le
domaine distant. Dans notre cas, nous choisirons d’autoriser tous les utilisateurs du domaine
distant :
32

Il en est de même pour ceux du domaine local :

Un écran récapitulatif résume les actions qui vont être effectuées :
33

A la suite, une fenêtre vous confirme que la création de la relation s’est bien déroulée :

Confirmez ensuite à deux reprises les approbations sortantes et entrantes :

Avant de quitter l’assistant, prenez note du message concernant le « SID filtering »
34
3.5 Vérifications
Pour visualiser et vérifier que la relation d’approbation raccourcie a bien été créée :
 Ouvrez la console Active Directory Domains and Trusts
 Clic droit sur le domaine de votre choix > Properties > Trusts
o Depuis la console de la forêt « Mairie », vous obtenez les informations suivantes :
o Idem depuis la console de la forêt « Agglo » :
Vous pouvez également exécuter la commande suivante pour vérifier la relation :
netdom trust agglo.com /domaine:mairie.com /verify
35
4. Approbations de forêts
Apparue avec Windows Server 2003, ce type d’approbation permet à tous les domaines d’une forêt
d’approuver de manière transitive tous les domaines d’une autre forêt. Cette relation peut être uniou bidirectionnelle. Notez que tous vos domaines devront être au moins en niveau fonctionnel 2003
pour utiliser ce type de relation. Source
Approbation de forêt : source
Quant créer une approbation de forêt : source
N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante :
m.decrevoisier A-R-0-B-A-5 outlook. com
Soyez-en d’ores et déjà remercié
36