Comment bien entretenir son annuaire Active Directory
Bien entretenir la "santé" de son annuaire Active Directory se résume en général à quelques tâches essentielles visant à éviter que quelque chose ne tourne mal. Dans ce court article, nous mettons l'accent sur les bonnes pratiques pour maintenir un annuaire fiable et pour garantir son bon fonctionnement dans la durée.
Une fois que votre Active Directory (AD) est installé et fonctionnel, il est essentiel de l'entretenir régulièrement. Chaque administrateur AD a défini un ensemble de procédures pour garantir le bon fonctionnement de son annuaire, voici quelques recettes de base :
1. Vérifiez vos procédures de sauvegardes
Reportez-vous pour cela à notre article sur la sauvegarde d'Active Directory.
2. Assurez-vous que les réplications fonctionnent
Le bon fonctionnement dépend de la synchronisation de multiples bases de données. Cette synchronisation est en fait obtenue par une réplication systèmatique des changements et mises à jour effectués sur chaque contrôleur de domaine vers les autres contrôleurs.
L'ensemble du processus n'est pas extrêmement compliqué, mais si vos répétitions cessent de fonctionner correctement, votre annuaire ne sera pas fiable. Vous pouvez toujours exécuter la commande "repadmin / showrepl" pour voir l'état des dernières réplications et vérifier que les modifications sont correctement répercutées d'un serveur à l'autre. Il est rare de subir une défaillance dans un environnement LAN, mais des problèmes de latence peuvent engendrer des soucis à l'échelle du WAN.
Il est à noter que, lorsqu'un changement est effectué, il ne va pas être répliqué instantanément partout. Néanmoins, dans une forêt AD bonne santé, les réplications se feront en cascade dans un intervalle que quelques heures. La commande "Repadmin" vous permet de savoir quand a eu lieu la dernière réplication.
Lorsque vous n'avez que deux contrôleurs de domaines à gérer, utilisez "repadmin / showrepl * / BYSRC / BYDEST" pour obtenir un instantané de l'ensemble des contrôleurs de domaine Active Directory. Réalisez cette opération une fois par mois.
3. Vérifiez les journaux d'événements (logs)
Il est impossible d'éliminer toutes les alertes remontées dans les journaux d'événements, en particulier durant le démarrage. Toutefois un contrôleur de domaine AD qui a été amorcé il y a plusieurs heures ne devrait remonter que des messages d'information dans votre journal des événements. Il est important de vérifier régulièrement les journaux d'événements à la fois quand les choses fonctionnent correctement et quand vous pensez avoir un problème. Si vous recevez régulièrement autre chose que des messages d'information (généralement sur la défragmentation et les sauvegardes) dans votre répertoire ou les journaux d'erreur d'application DNS, vous avez un problème qui doit être résolu. Ceci est une autre tâche à réaliser au moins une fois par mois.
4. Défragmentez la base AD
La base de données Active Directory peut enfler rapidement et se fragmenter. Si vous avez un vaste annuaire, vous pouvez augmenter les performances en procédant à une maintenance périodique. Dans Windows 2008, vous pouvez arrêter et démarrer AD comme un service et effectuer des tâches de maintenance de base de données. Dans les versions antérieures, vous devez démarrer en mode Restauration DS pour obtenir un accès direct à l'annuaire. Dans les deux cas, votre application préférée est "Ntdsutil", qui vous permet de vérifier l'intégrité des bases de données et de compacter ou de défragmenter la base de données. Il s'agit plus d'une tâche à réaliser plutôt une fois par an qu'une fois par mois.
Ntdsutil a une autre fonction importante : il est utilisé pour réinitialiser le mode de passe du mode restauration d'AD (Active Directory Restore Mode).
5. Utilisez l'outil de diagnostic du contrôleur de domaine : Dcdiag
Nous avons gardé le meilleur pour la fin : Dcdiag incorpore près d'une trentaine de tests différents, pour vérifier la santé de votre Active Directory, allant de la vérification des réglages de base en matière de connectivité et de sécurité à des questions plus spécifiques comme l'absence de comptes d'ordinateurs.
Le petit problème est que DcDiag est cryptique, source de confusions, et parmi les commandes les plus compliquées que Microsoft ait jamais conçues. Mais il peut déceler toutes sortes d'erreurs très intéressantes. En général, je commence par utiliser "dcdiag / a / v / c" (/ a signifie "tous les contrôleurs de domaine", / v signifie "journalisation étendue" et / c signifie "réaliser l'ensemble des tests"), afin de déceler les principales erreurs. Il y en a souvent quelques unes qui méritent que l'on s'y attarde, même si la plupart s'avèrent inoffensives. Certaines erreurs détectées par Dcdiag, comme des erreurs de log du système et des erreurs KCC, sont communes, mais passagères, souvent parce qu'un système a été redémarré. Mais d'autres, tels que le 'Role Hoder Test' (qui permet de vérifier les détenteurs d'un rôle serveur) indiquent un problème plus grave. "Repadmin" et "Dcdiag" dont des utilitaires en mode ligne de commande inclus dans les outils de support Windows. Ils figurent dans le dossier SupportOutils (SupportTools sur le CD Windows Server 2003 ou sont disponibles sur le site Technet de Microsoft dans la base de donnaissance (KB892777).
Si Dcdiag produit un résultat propre, vous êtes presque assurés d'avoir un environnement Active Directory sain et fonctionnant correctement. Vous pouvez exécuter Dcdiag à une fréquence faible (typiquement tous les mois) si aucun problème récent n'est apparu sur votre environnement AD. En revanche, si vous avez rencontré récemment des erreurs, il peut être intéressant d'accroître la fréquence de test pour être sûr que d'autres problèmes ne viennent se glisser dans l'annuaire répertoire.
En savoir plus :
Tout sur l'utilitaire Dcdiag sur Microsoft Technet
A propos de l'auteur :
Joel Snyder est associé principal chez Opus One, une firme de consultants spécialisée dans la sécurité et la messagerie.