Mercredi 12 mai 2010 3 12 /05 /Mai /2010 15:34

Bonnes pratiques à respecter lors de mise à niveau de votre infrastructure AD

 

Introduction

Vous le savez certainement, Exchange est très dépendant de l'infrastructure Active Directory sur laquelle il repose, en effet 90% des paramètres de configuration Exchange sont stockés dans l'AD.  

 

Durant une nouvelle intégration ou migration Exchange, il est primordial de respecter certaines bonnes pratiques lors de la mise à niveau de votre AD imposé notamment par les nouveaux groupes de sécurité et classes d'objets de la nouvelle version d'Exchange.

 

L'objectif de cet article est vous proposer une méthode pour mettre à niveau une infrastrucutre Active Directory dans les meilleures conditions de sécurité. Cette méthode n'est pas applicable uniquement à Exchange car de nombreux produits du marché nécessitent une extension du schéma AD pour fonctionner correctement. 

 

Cette mise à niveau nécessite d'avoir clairement identifié les éléments qui composent l'infrastructure AD que vous souhaitez "upgrader" tels que :

  • Le contrôleur de domaine possédant les rôles FSMO
  • Le nombre de domaine de la foret Active Directory
  • La version du schéma AD
  • La version des contrôleurs de domaine
  • Le niveau fonctionnel du domaine et de la foret AD

 

Quelques mises en garde peuvent être utiles avant de se lancer tête baissée dans une mise à niveau de l'AD. En effet, lorsqu'une mise à niveau du schéma se produit, il n'existe pas de retour arrière possible à part d'effectuer une restauration authoritative du DC sur lequel s'est déroulée la mise à niveau.

 

Par sonséquent, une sauvegarde fiable et à jour de l'AD est indispensable.

 

Identification des composants AD

Identification du DC ayant le rôle maître du schéma

Cette identification est nécessaire dans la mesure où c'est le DC possèdant le rôle maitre de schéma qui est sollicité par le processus d'installation d'Exchange.

 

Cette identification s'effectue simplement en utilisant l'utilitaire Netdom disponible dans le kit de ressources techniques 2000 ou disponible nativement dans Windows 2008.

 

L'utilitaire Netdom est également utilisé pour modifier le nom d'un DC ou d'un domaine AD, pour notre besoin de localisation du maitre de schéma nous utiliserons  la commande suivante : netdom query fsmo (cette commande peut être executé depuis une machine quelconque membre du domaine).

 

greenshot_2010-05-13_16-56-08.jpg

 

La ligne "Schema master" renvoie le FQDN du serveur dc2003.demo.local qui est bien le maitre de schéma de notre AD.

Identification de la version initiale du schéma de l'AD

Cette opération permet d'identifier précisement la version du schéma AD avant la mise à niveau.

 

Il est important de préciser qu'il existe une version du schéma AD et une version du schéma Exchange que l'on identifie en requetant deux attributs AD : ObjectVersion pour l'AD et RangeUpper pour Exchange.

 

Attribut "ObjectVersion"

 

 dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion


  greenshot 2010-05-13 16-37-04

 

La version actuelle du schéma AD est 30, c'est à dire Windows Server 2003.

 

 

Attribut "RangeUpper"

 

 dsquery * CN=ms-Exch-Schema-Version-Pt,cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr rangeUpper

 

greenshot_2010-05-13_16-44-39.jpg

La version actuelle du schéma AD est 14622, c'est à dire Exchange 2007 SP2 ou 2010.

 

 

Voici la correspondance de l'ensemble des versions de schéma AD et Exchange :

 

 

Valeur de l'attribut ObjectVersion

Version du schéma AD

13

Windows 2000 Server

30

Windows Server 2003 RTM/SP1/SP2

31

Windows Server 2003 R2

44

Windows Server 2008 RTM

 

 

 

Valeur de l'attribut RangeUpper

Version du schéma Exchange

4397

Exchange Server 2000 RTM

4406

Exchange Server 2000 SP3

6870

Exchange Server 2003 RTM

6936

Exchange Server 2003 SP3

10628

Exchange Server 2007 RTM

11116

Exchange Server 2007 SP1

14622

Exchange Server 2007 SP2 er Exchange Server 2010 RTM

 

 

 

Par ailleurs, il est possible de localiser les valeurs de ces deux attributs via l'utilitaire ADSIEDIT fourni maintenant nativement dans Windows 2008 .

 

 

Vérification de l'état de santé de votre AD

Avant d'effectuer la mise à niveau de votre schéma et de vos domaines AD, il est important de vous assurer que votre infrastriucutre AD soit saine et que les différentes partitions (configuration, Domaine et schéma) se répliquent correctement sur chaque DC de votre fôret AD.

Dans le cas où vous auriez un de vos DC qui ne réplique plus depuis plusieurs semaines, vous risquez d'avoir des dysfonctionnement des services de messagerie pour les machines (postes de travail & serveurs) utilisant ce DC. En effet, ces machines n'auront pas connaissance notamment des nouveaux groupes de sécurité ou des objets Exchange crées durant le processus d'installation.

 

L'utilitaire REPADMIN

Cet utilitaire fournit une interface puissante pour identifier les rouages internes de réplication Active Directory, mais aussi pour résoudre des problèmes de réplication Active Directory.

 

La commande repadmin /showrepl à executer sur chacun de vos DC permet de visualiser les dernières réplications intervenues sur vos DC.

 

2.JPG

 

Cette copie d'écran illustre l'état de la réplication des 3 différentes partitions AD intervenues sur le DC lyra.ns.local depuis le DC lynx.ns.local. Il est important de valider que chaque tentative de réplication se termine avec l'état "successful" et avec une heure de réplication relativement proche.

 

 

L'utilitaire DCDIAG

Cette utilitaire controle l'état de l'ensemble des composants indispensables au bon fonctionnement d'un DC.

 

Pour valider le bon fonctionnement de ces composants, il est important que chaque test se finisse par "passed test". Dans le cas contraire, vous devrez investiguer le problème remonté avant de procéder à la mise à niveau de votre AD.

 

4-copie-1.JPG

 

 

Opérations préliminaires à la mise à niveau de l'AD

 

Stopper les réplications sur le DC maitre du schéma

Dans le cas où la mise à niveau du schéma de l'AD provoque une erreur dans le schéma AD, il peut être utile de limiter la propagation du schéma endommagé en stoppant les réplications avec les autres DC du domaine. Pour vous rassurer, je n'ai personnellement jamais rencontrer de problème lors de mise à niveau de schéma mais ce conseil peut limiter les risques dans le cas où la mise à niveau se passe mal.

 

Pour stopper ces réplications et donc isoler le maitre de schéma, nous allons bloquer provisoirement les réplications entrantes et sortantes avec le maitre de schéma.

 

Pour ce faire, il suffit d'executer la commande suivante sur le maitre de schéma : repadmin /options FQDN +DISABLE_OUTBOUND_REPL +DISABLE_INBOUND_REPL où FQDN réprésente le nom complet de votre DC maitre de schéma.

 

5.JPG

Les nouvelles options du DC ont bien été modifiées

 

Suite à cette commande, vous devriez voire afficher les deux warnings suivants dans le journal Service d'Annuaire du DC :

 

6.JPG

Désactivation de la réplication entrante

 

 

7.JPG

Désactivation de la réplication sortante

 

 

Désactivation du service Windows "Réplication de Fichiers"

Cette opération a pour objectif d'éviter la réplication du sysvol après le premier redémarrage du maitre de schéma suite à la mise à niveau du schéma. Vous pouvez effectuer cette opération simplement via la console services.msc.

 

8.JPG

 

 

 

Conclusion

 

Enfin !!!! Toutes les conditions sont maintenant réunies pour effectuer une mise à niveau de votre AD en toute sécurité

 

N'oubliez pas lorsque vous aurez mis à niveau votre AD d'effectuer les opérations suivantes:

 

  • Vérification des nouvelles valeurs des attributs AD
  • Réactivation de la réplication AD sur le maitre de schéma
  • Réactivation du service "Réplication de Fichiers

 

 


Par Fabien Guichard
Mercredi 14 avril 2010 3 14 /04 /Avr /2010 18:31

Erreur sur le service EAS 2010 (Event 1053 - source MsExchange ActiveSync)

J'ai pu constaté lors de mes premières transitions d'architectures Exchange 2003 vers Exchange 2010, un problème localisé sur les services EAS (Exchange Active Sync) qui remonte dans le journal applicatif du rôle CAS avec l'erreur suivante

1-copie-1.JPG

Cette erreur se produit lorsque l'utilisateur Exchange se présente en HTTPS sur le serveur CAS 2010 pour synchroniser son PDA qui bloque la synchro avec l'erreur suivante :

ActiveSync registered a problem on the server.

Support code: 0×85010014


Ce pb est référencé par Microsoft avec le KB 979566 et corrigé par l'application du Rollup 2 Exchange 2010 disponible en téléchargement ici : http://support.microsoft.com/kb/979611/

Si vous ne souhaitez pas déployer ce RU2, il est possible de controurner ce problème en activant l'héritage de droits sur les propriétés du compte AD des utilisateurs pour lesquels le problème se produit.

Notre ami Henrik nous donne la procédure à suivre ici : http://blogs.msexchange.org/walther/2009/09/13/issues-activesync-after-moving-user-mailboxes-to-exchange-2010/


Vu la population impacté par ce problème (souvent des VIP) on peut imaginer que le Rollup 2 va rapidement devenir incontournable et consideré comme un prérequis à tout déploiement d'architecture Exchange 2010.


Par Fabien Guichard
Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Rémunération en droits d'auteur - Signaler un abus