Lorsque l’on a à gérer un AD, on se retrouve parfois confronté à de petits problèmes mais qui sont relativement pénible et pour lesquels on peut passer quelques heures à trouver la solution.
Voici quelques commandes qui m’ont été bien utiles sur les DCs de l’AD DS.
Savoir sur quel contrôleur de domaine on est authentifié
Il existe plusieurs commande pour le savoir :
echo %logonserver% : Pour savoir sur quel DC vous êtes authentifié.
nltest /sc_query:domain.tld : Pour savoir quel est le DC le plus proche.
nltest /DSGETDC:domain.tld : Pour connaitre le DC utilisé.
nltest /DSGETDC:domain.tld /GC : Pour savoir quel est le DC global utilisé.
Figer la configuration du serveur de temps sur des Contrôleurs de Domaine
On peut faire cela par GPO.
- Cette commande a besoin d’un argument. Seule, elle se lance pas.
- Créer une GPO « Mise à l’heure du PDC »
- Créer un filtre WMI pour sélectionner le Le contrôleur de Domaine
- Le filtre est
Select * from Win32_ComputerSystem where DomainRole = 5
Ce filtre assure que seul le Contrôleur de Domaine est affecté par la GPO même si celui-ci est remplacé ou le rôle déplacé sur un autre contrôleur.
Lister les DCs d’un AD
L’outil NLTest.exe
NLTest est un outil CLI disponible depuis Windows Server 2000 et qui a reçu des fonctionnalités supplémentaires avec Windows 2003 server. On peut le trouver sur le site de Microsoft en téléchargeant Windows Server 2003 Service Pack 2 32-bit Support Tools ou en faisant une recherche Google nltest+download
A partir d’un DC (ou d’un gestionnaire de serveur qui lancera un TSE sur le DC) on lance l’Invite de commande (CMD.exe) en tant qu’administrateur.
Dans la fenêtre CMD on tape : NLTest /DCList:Domainename
NLTest peut être utilisé pour dsavoir ou connaitre un certain nombre de paramètres.
Tester des Domaines de confiance :
nltest /trusted_domains
En résultat :
Trusted domain list:
DOMAIN NAME TRUSTED
The command completed successfully
Connaitre les DCd ans un Domaine
nltest /dclist:domain name
En résultat :
List of DCs in Domain testd
\\DomainControler1
\\DomainControler2
The command completed successfully
Tester le canal sécurisé entre DCs d’un domaine et le domaine de confiance
nltest /server:DomainControler1 /sc_query:trusted_domain
En résultat :
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\Trusted Domain DC
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
NLTest peut aussi être utilisé pour connaitre si un compte utilisateur s’est loggué au domain ou sur un contrôleur de domaine et avec quel appareil.
Pas mal pour un outil vieux de plus de 10 ans…
On peut utiliser Windows PowerShell
En utilisant la Cmd-let Get-ADDomainController
On lance Windows PowerShell (en tant qu’Administrateur) à partir d’un DC ou depuis un serveur d’administration ayant les outils RSAT AD DS installés ou le gestionnaire de serveur.
Tapez la commande suivante :
Get-ADDomainController -Filter * | Select Name
En utilisant la Cmd-let Get-ADGroupMember
On lance Windows PowerShell (en tant qu’Administrateur) à partir d’un DC ou depuis un serveur d’administration ayant les outils RSAT AD DS installés ou le gestionnaire de serveur.
Tapez la commande suivante :
Get-ADGroupMember « Contrôleurs de Domaine » | Select Name
Note :
- Cette commande ne liste pas les RODC (Read-Only Domain Controllers).
- Cette commande a besoin d’un argument. Seule, elle se lance pas.
A la mode PowerShell coder
$dcdom = [System.DirectoryServices.ActiveDirectory.Domain]::getcurrentdomain()
$dcdom.DomainControllers | ft Name,SiteName
Liens :
Docs microsoft en en-us sur windows server et le service de temps
Administration Système & Windows 