20 « armes» ligne de commande pour Windows 2003
Par Sean Deuby. Mise en ligne : 21 Mai 2007, Publication : Octobre 2005
L’OS de base
Support Tools
Download Center
Kit de ressources
Troisième partie
A vous de surfer
Download Center
Quiconque a déjà recherché des outils utiles sur le site Web de Microsoft, sait que le Download Center constitue une source unique bienvenue, plaisante à utiliser. Vous y trouverez pratiquement tous les outils autonomes disponibles, ainsi que des liens vers des ensembles d’outils ayant leur propres zones Web.
Command Prompt Here.
Command Prompt Here est un utilitaire que j’aime bien installer sur toutes mes consoles administratives. C’est un outil simple que l’on trouve parmi les Microsoft PowerToys for Windows XP. (Voir l’encadré « Mettez vos utilitaires ligne de commande à l’oeuvre ! » pour des informations sur le téléchargement.) Command Prompt Here ajoute un élément menu de contexte dans Windows Explorer, qui permet de lancer une invite de commande à partir de tout dossier sur lequel on a fait un clic droit.
Dsrevoke.
Peut-être avez-vous déjà accordé des permissions à un utilisateur ou à un groupe (disons avec le wizard Active Directory Delegation of Control) quelque part dans un domaine. Mais, maintenant, vous devez révoquer ces permissions. Il serait fastidieux de rechercher dans le domaine et de supprimer les principaux de sécurité. Pour l’essentiel, Dsrevoke « défait » les actions du wizard Delegation of Control ou de son équivalent. Vous pouvez utiliser
dsrevoke /report <security principal>
pour générer un rapport des ACE (access control entries) qui ont été définies sur tous les objets de domaine et d’OU sous la racine du domaine. Supposons que l’utilisatrice Barbara Seville ait été autorisée à créer, gérer et supprimer des comptes utilisateur dans l’OU Staff. La figure 2 montre le résultat de Dsrevoke /report pour Barbara. Pour supprimer ses permissions, il suffit de changer l’option /report en /remove. Dsrevoke affichera ses permissions, comme avec /report, puis confirmera la suppression. Entrez Y pour Yes pour supprimer ses ACE.
A noter que, comme le Delegation of Control Wizard, cet outil ne vaut que pour les permissions accordées sur l’OU ; si vous avez accordé des permissions explicitement à des objets ou à des conteneurs (comme Computers) au lieu de laisser les objets hériter des permissions de l’OU, vous devrez supprimer les permissions vous-mêmes.
DCGPOFix et Recreatedefpol.
En cas de problèmes sérieux avec les GPO (Group Policy Objects) par défaut dans votre domaine – la stratégie de domaine par défaut et la stratégie des contrôleurs de domaine par défaut – vous pouvez utiliser DCGPOFix de Windows 2003 ou Recreatedefpol de Win2K pour restaurer leur état par défaut. DCGPOFix peut restaurer la stratégie de domaine par défaut (/target: domain), la stratégie de contrôleurs de domaine par défaut (/target:DC) ou les deux (/target:both).
Si vous êtes contraints d’utiliser l’option /target:both, il est probable que ces seuls outils ne suffiront pas pour redresser la situation. Pour vous préparer à une situation délicate où vous auriez perdu un ou plusieurs GPO, tirez parti d’un petit avantage de GPMC (Group Policy Management Console) de Microsoft, qui offre un bel ensemble de scripts ligne de commande et la possibilité d’écrire les vôtres en supplément. Sans travail supplémentaire, vous pouvez sauvegarder et restaurer des GPO individuels ou tous les GPO du domaine, copier les GPO individuels et générer des rapports sur un GPO ou sur tous ceux d’un domaine, dans le format settings bien connu de GPMC. Vous pouvez même sauvegarder tout l’environnement des stratégies de groupe – GPO, paramètres, liens, permissions – dans un fichier XML avec un script modèle et le restaurer avec un autre script.
Repadmin.
Repadmin est un pilier de Microsoft PPS (Product Support Services). C’est la base des outils de dépannage de la réplication. Il contient tellement de commandes (59), d’options et de commutateurs, qu’il lui faut pas moins de trois niveaux d’aide. Le commutateur /oldhelp affiche la syntaxe et les options d’origine, dont certaines ont été remplacées par des commandes plus récentes décrites dans le fichier /help. (Les anciennes fonctionnent encore.) Si vous n’approfondissez pas la syntaxe, vous risquez d’utiliser une version moins utile sans jamais le savoir. Par exemple, chaque utilisateur de Repadmin semble découvrir pour la première fois la présence du commutateur /showreps. Il se trouve encore dans Windows 2003, mais une version plus récente - /showrepl – possède une option /errorsonly commode qui dispense de feuilleter des pages d’information sur l’objet-connexion pour trouver des erreurs. Le commutateur /experthelp permet d’accéder aux options Repadmin avancées, non documentées, dangereuses par leur puissance. En fait, le commutateur /experthelp lui-même est non documenté. Les sécurités étant désactivées, vous ne devez tenter ces opérations que dans une forêt de test, tant que vous ne les maîtriserez pas vraiment. (Aucune boîte de dialogue de confirmation ne vous demandera, « Voulez-vous vraiment supprimer ce contexte de nommage ?».) /options est une commande /experthelp particulièrement utile. Elle permet de créer un serveur GC (Global Catalog) par la simple commande
repadmin /options <dcname> +is_gc
En remplaçant le signe plus (+) par un signe moins (-), on peut inverser l’opération. On peut désactiver la réplication vers un DC par la commande
repadmin /options <dcname> +disable_inbound_replication
et à partir d’un DC, par la commande
repadmin /options <dcname> +disable_outbound_replication
On peut aussi utiliser le commutateur /options pour examiner l’état de l’une quelconque de ces opérations, comme suit :
repadmin /options <dcname>
/replsummary est une nouvelle commande Repadmin particulièrement intéressante pour Windows 2003. Cette commande fournit un résumé rapide de l’état de santé de la réplication de tous les DC de votre forêt, dans un format de type table. L’exécution est rapide même dans de grandes forêts et l’on peut ajouter l’option /errorsonly pour limiter la sortie aux seuls DC malades. L’option /bridgeheads donne des détails sur les serveurs bridgeheads. (Sans aucune option, la commande /replsummary fait un compte-rendu sur tous les bridgeheads de la forêt.) L’option /querysites permet de déterminer le coût du lien entre deux sites ou plus dans la forêt. C’est très intéressant pour déterminer la route la moins coûteuse dans une topologie de sites compliquée. Beaucoup d’autres commandes Repadmin vous attendent et le temps que vous passerez à les étudier sera bien employé.
Kit de ressources
Contrairement aux Support Tools, les outils du kit de ressources ne sont pas sur le média d’installation. Bien qu’ils soient un peu moins cruciaux que les utilitaires d’OS natifs et Support Tools, beaucoup des outils du kit de ressources sont tellement pratiques que je recommande aussi de les installer sur chaque serveur.
ADLB.
L’outil ADLB (Active Directory Load Balancing) du kit de ressources est nouveau dans Windows 2003 parce qu’il influence un nouveau comportement de l’OS. Win2K désigne un DC unique dans chaque site comme serveur bridgehead, chargé de gérer les objets de connexion entre son site et les sites auxquels le KCC (Knowledge Consistency Checker) décide qu’il devrait être connecté. S’il y a beaucoup de sites, cette situation peut entraîner un problème d’évolutivité : le fait d’être un serveur bridgehead vis-à-vis de beaucoup de sites d’agences peut ralentir un DC. Pour résoudre ce problème, Windows 2003 permet à tous les DC d’un site d’être des serveurs bridgehead pour les partitions de répertoires qu’ils hébergent, et donc plusieurs DC peuvent traiter la charge des objetsconnexion. L’OS fait au début des sélections aléatoires mais, hélas, il ne les rééquilibre jamais. Par conséquent, si la configuration des DC d’un site change - par exemple, si l’on ajoute un nouveau DC plus puissant – la distribution des objetsconnexion intersite ne change jamais. ADLB examine et rééquilibre la distribution des connexions intersites entre les DC d’un site. Avant d’utiliser ADLB, vous devez boucler vos mises à jour de DC sur Windows 2003 afin qu’il fonctionne de manière égale sur tous les DC. L’outil n’équilibrera pas la charge des DC Win2K.
Le moyen le plus simple d’exécuter ADLB c’est de le faire avec des paramètres /server:DcName/site:SiteName. L’outil fournira alors un rapport sur les objets-connexion pour le site cible et suggèrera des changements. (Le serveur que vous spécifiez peut être n’importe quel DC membre de la forêt.) A noter que ADLB ne modifiera la configuration bridgehead que si vous ajoutez le paramètre /commit. Vous pouvez effectuer toutes les opérations ADLB (sauf /commit) sans droits élevés, ce qui allège quelque peu votre recherche d’équilibrage bridgehead.
Pour un réglage plus fin, vous pouvez utiliser le paramètre /stagger afin que ADLB prenne le contrôle du calendrier de réplication intersite et étage l’intervalle de réplication entre les objets-connexion qu’un serveur bridgehead possède. Cette fonctionnalité dissémine l’impact de l’opération de réplication sur chaque objet-connexion qui, sans cela, frapperait le serveur en une seule fois. Cependant, quand vous aurez utilisé ADLB pour retirer le calendrier de réplication du KCC, il vous faudra le maintenir avec ADLB.
ADLB a besoin d’évoluer dans un ensemble de règles et vous pouvez les modifier presque toutes si vous le jugez nécessaires. L’option /maxbridge indique le nombre maximum d’objets-connexion qu’AD modifiera en raison d’un équilibrage de charge bridgehead. L’option /maxperserver indique le nombre maximum de changements à déplacer sur un DC à la fois, pour qu’il ne soit pas surchargé par une augmentation soudaine des objets-connexion. Vous pouvez créer des rapports /preimbalance et /postimbalance (uniquement dans la version la plus récente) pour visualiser les déséquilibres des réplications entrantes avant et après l’équilibrage. Ces rapports sont en format CSV (comma separated value) pour en faciliter l’importation dans Microsoft Excel.
ADLB peut être un puissant utilitaire pour votre topologie de réplication mais, avant de l’utiliser, faites une évaluation sérieuse. Je conseille de commencer par examiner vos plus grands sites (c’est-à-dire ceux qui ont le plus grand nombre de DC) parce que ce sont ceux qui risquent le plus de présenter un déséquilibre. Si vous découvrez un déséquilibre dans la distribution des objets-connexion, n’en déduisez pas que vous devez forcément le corriger. Faites une analyse de performance sur le serveur bridgehead qui a le plus grand nombre d’objets-connexion. Souffre-t-il vraiment ? Dans la négative, laissez-le tranquille (ainsi que le site). Laissez l’étagement du calendrier tranquille, sauf si vous devez vraiment le modifier. Pourquoi rendre manuelles des opérations automatisées, sauf s’il y a une bonne raison à cela ?
S’il s’avère que vous devez utiliser ADLB pour corriger votre distribution d’objets-connexion, exécutez l’outil d’après un calendrier déterminé par votre environnement. Si vous modifiez activement votre configuration de sites en déployant des DC, en ajoutant ou en changeant des liens de sites, en créant des sites, et ainsi de suite, il vaut mieux exécuter ADLB une fois par jour. Une fois les changements terminés, cessez d’utiliser ADLB.
GPOTool.
Il est probable que vous n’associez que les utilitaires GUI avec Group Policy. Pourtant, il existe plusieurs utilitaires ligne de commande. L’utilitaire GPOTool du kit de ressources vérifie l’état de santé de vos GPO. Il lit les propriétés de services de répertoires obligatoires et facultatives (comme la version, le nom convivial, les GUID (globally unique identifiers) GPOTool d’extension et les données Sysvol), compare les services de répertoires et les numéros de versions de Sysvol et se livre à d’autres contrôles de cohérence.
Précédent
1
2
3
Suite
Note : les figures, codes sources et fichiers auquels fait référence l'article sont visualisables au sein de la rubrique Club Abonnés. Une fois authentifié dans le club, il vous suffit de rechercher le dossier concerné dans l'édition de ITPro Magazine publié en Octobre 2005 du Club Abonnés !
|
Dossiers
Windows 
