Tout sur les relations

dapprobations
(v2)

Tutorial conu et rdig par Michel de CREVOISIER Septembre 2013

SOURCES
Relations dapprobation :
http://www.labo-microsoft.org/articles/win/trust/
http://technet.microsoft.com/en-us/library/cc730798.aspx

INDEX
SOURCES.............................................................................................................................................................. 1
INDEX................................................................................................................................................................... 2
Prambule ........................................................................................................................................................... 3
1.

2.

3.

4.

Approbations prdfinies ........................................................................................................................... 4

1.1

Relations parents / enfants ................................................................................................................. 4

1.2

Relations darborescence .................................................................................................................... 8

1.3

Relations mixtes ................................................................................................................................ 12

Approbations raccourcies ......................................................................................................................... 13

2.1

Dfinition ........................................................................................................................................... 13

2.2

Schma .............................................................................................................................................. 13

2.3

Cration dune relation dapprobation raccourcie ............................................................................ 14

2.4

Vrifications ....................................................................................................................................... 18

Approbations externes ............................................................................................................................. 19

3.1

Dfinition ........................................................................................................................................... 19

3.2

Schma .............................................................................................................................................. 19

3.3

Rsolution des noms DNS.................................................................................................................. 19

3.4

Cration dune relation dapprobation externe ................................................................................ 24

3.5

Vrifications ....................................................................................................................................... 35

Approbations de forts............................................................................................................................. 36

Prambule
Ce tuto a pour objectif de vous prsenter les diffrents types de relations quil peut exister au sein
dune fort ou dun domaine. Notez toutefois que la tendance actuelle des IT est dunifier au
maximum leurs structures Active Directory afin de faciliter sa gestion. Il convient nanmoins de
connatre le fonctionnement de ces diffrentes relations dans la mesure o vous pourriez tre
confronts une runification de plusieurs arborescences rparties sur plusieurs sites.
Par ailleurs, la connaissance du fonctionnement de certaines approbations est indispensable,
notamment dans le cas de migrations inter-fort.

1. Approbations prdfinies
Les approbations prdfinies sont des approbations qui sont cres automatiquement durant les
processus dextension de la fort ou du domaine. Elles sont bidirectionnelles et transitives.

1.1 Relations parents / enfants

1.1.1 Dfinition
Lors de lajout dun domaine enfant France un domaine existant Agglo , une relation
dapprobation est cre. La cration dun domaine enfant se fait obligatoirement sous la tutelle
dun domaine parent. Le schma ci-dessous reprsente cette situation :

1.1.2 Schma

1.1.3 Cration dun domaine enfant

Pour ajouter un domaine enfant dans une fort existante :
Excutez la commande dcpromo
Slectionnez loption suivante :

Indiquez le nom du domaine parent pour lequel vous souhaitez crer un domaine enfant :

Indiquez pour terminer le nom du domaine enfant :

1.1.4 Vrifications
Pour visualiser et vrifier que la relation dapprobation parent/enfant a bien t cre :
Ouvrez la console Active Directory Domains and Trusts
Clic droit sur le domaine racine > Properties > Trusts
o Depuis la console du domaine parent Agglo , vous apercevez le domaine enfant
France approuv (relation entrante/sortante et transitive) :

o Depuis la console du domaine enfant France , vous apercevez le domaine parent

Agglo approuv :

Par ailleurs, si vous cliquez sur Properties partir du domaine parent, vous obtenez les
informations suivantes :

1.1.5 Requte FSMO

Voici le rsultat obtenue concernant la rpartition des rles FSMO partir du serveur du domaine
enfant France :
netdom /query fsmo

1.2 Relations darborescence

1.2.1 Dfinition
Les relations darborescence sont les relations cres entre les racines de chaque arborescence avec
la racine de la fort. En vulgarisant, on peut considrer cette action comme lajout dune sous
fort une fort existante. Dans notre cas nous allons ajouter une nouvelle racine darborescence
Belgique au sein de la fort Agglo . Le schma ci-dessous reprsente cette situation :

1.2.2 Schma

1.2.3 Cration dune nouvelle arborescence

Pour crer une nouvelle arborescence au sein dune fort existante :
Excuter la commande dcpromo
Slectionnez loption suivante :

Indiquez le nom de la nouvelle arborescence :

1.2.4 Vrifications
Pour visualiser et vrifier que la relation darborescence a bien t cre :
Ouvrez la console Active Directory Domains and Trusts
Clic droit sur le domaine racine > Properties > Trusts
o Depuis la console de la fort racine Agglo , vous apercevez la nouvelle racine
darborescence Belgique :

o Inversement depuis la console de la nouvelle racine darborescence Belgique :

10

Vous pouvez galement vrifier cela partir de la console Active Directory User and
Computers en vous dirigeant dans lUO System (masque par dfaut) et en recherchant les
domaines ou fort associs :

1.2.5 Requte FSMO

Voici le rsultat obtenu concernant la rpartition des rles FSMO partir du serveur darborescence
racine de la fort Belgique :
netdom /query fsmo

11

1.3 Relations mixtes

A titre dexemple, le schma ci-dessous illustre un environnement Active Directory mixte avec
une racine darborescence Belgique et un domaine enfant Canada , tous deux situs dans la
fort racine Agglo .

12

2. Approbations raccourcies
2.1 Dfinition
Dans le cas dune structure Active Directory complexe, il se peut que le calcul du chemin daccs soit
extrmement long en raison de limbrication de plusieurs domaines au sein de diffrentes
arborescences. Pour parer ce problme, les relations raccourcies ont t introduites dans lobjectif
dacclrer dun point de vue rseau le processus dauthentification, et dun point de vue temps le
calcul du chemin dapprobation le plus court. Source
Dans notre cas, nous allons crer une relation dapprobation raccourcies entre les domaines enfants
France et Canada situs dans la fort Agglo . Ce type dapprobation peut galement tre
utilis entre deux domaines situs dans des forts diffrentes.

2.2 Schma

13

2.3 Cration dune relation dapprobation raccourcie

Depuis le serveur du domaine enfant Canada :
Ouvrez la console Active Directory Domains and Trusts
Clic droit sur le domaine Canada > Properties > Trusts > New trust
Lassistant suivant se lance :

Indiquez le nom du domaine enfant avec lequel vous souhaitez crer une relation
dapprobation raccourcie :

14

Choisissez ensuite le sens de la relation :

Etant donn quil sagit dune approbation mutuelle, choisissez loption ci-dessous :

15

Renseigner le login du compte administrateur pour le domaine enfant France :

Un dernier message vous rsume lensemble des actions qui vont tre effectues :

16

Il est suivi dun autre message vous confirmant la cration de lapprobation raccourcie :

Par la suite, vous devrez confirmer deux reprises les approbations sortantes et entrantes :

Pour terminer, lassistant vous informe du bon droulement de la cration de lapprobation :

17

2.4 Vrifications
Pour visualiser et vrifier que la relation dapprobation raccourcie a bien t cre :
Ouvrez la console Active Directory Domains and Trusts
Clic droit sur le domaine racine > Properties > Trusts
o Depuis la console du domaine enfant France , vous obtenez les informations
suivantes :

o Il en est de mme depuis la console du domaine enfant Canada :

18

3. Approbations externes
3.1 Dfinition
Une approbation externe permet de crer une approbation non transitive uni- ou bidirectionnelle,
avec un domaine situ lextrieur de la fort. Elle permet ainsi aux utilisateurs davoir accs aux
ressources dune autre fort de faon totalement transparente. Ce type de relation est gnralement
utilis pour des migrations dutilisateurs, pour laccs des ressources situes sur des domaines NT4
ainsi que pour des migrations Exchange. Source

3.2 Schma

3.3 Rsolution des noms DNS

Etant donn que nos deux forts utilisent chacune leurs propres domaines de noms DNS, il est logique
que la fort Agglo ne puisse pas rsoudre le nom dune machine situe dans la fort Mairie
(et inversement). Aussi, la premire tape consistera configurer chaque fort afin quelle puisse
effectuer une rsolution DNS partie de la fort distante.
Si vous souhaitez en savoir plus concernant le fonctionnement des zones DNS, je vous recommande
la lecture de mon tuto Serveurs DNS redondants disponible sur Scribd.

3.3.1 Activation du transfert de zone

Nous allons commencer par activer le transfert de zone pour les zones de la fort Agglo :
Ouvrez la console DNS de la fort Agglo
Clic droit sur la zone _msdcs.agglo.com > Properties > Zone transfers > Edit
Ajoutez lIP du contrleur de domaine de la fort distante Mairie

19

Rptez laction pour la zone agglo.com :

Clic droit sur la zone agglo.com > Properties > Zone transfers > Edit
Ajoutez lIP du contrleur de domaine de la fort distante Mairie
Reproduisez ensuite ces points depuis la console DNS de la fort Mairie (zones mairie.com
et _msdcs.mairie.com ) en indiquant cette fois-ci lIP du contrleur de domaine de la fort distante
Agglo

3.3.2 Rplication des zones

Maintenant que le transfert de zone est activ, nous allons crer dans la fort Mairie deux zones
secondaires qui stockeront les enregistrements issus des zones DNS de la fort distante Agglo .
Pour cela :
Depuis la console DNS du contrleur de domaine de la fort Mairie , clic droit sur Forward
lookup zones > New zone > Secondary zone

20

Indiquez le nom de la zone dont on souhaite rcuprer les enregistrements DNS (en
loccurrence agglo.com ) :

Indiquez lIP du serveur agglo.com :

Rptez ces tapes mais pour la zone _msdcs.agglo.com

21

 Si la rplication a bien fonctionn, la zone agglo.com ainsi que la zone _msdcs.agglo.com

apparassent dans lapart Forward lookup zones du contrleur de domaine de la fort Mairie :

Rptez ensuite lensemble des actions prcdentes mais depuis la fort Agglo . Le rsultat
doit tre le suivant :

3.3.3 Configuration des suffixes DNS clients

Si vous souhaitez que vos postes clients puissent galement rsoudre les noms de clients situs dans
lautre fort, vous pouvez crer une GPO qui ajoutera localement les suffixes DNS des deux forts.
Pour cela :
Ouvrez la console Group Policy Management
Crer une nouvelle GPO nomme Suffixes DNS et faites un clic droit > Edit

22

Naviguez dans : Computer Configuration > Policies > Administrative Templates > Network >
DNS Client

Double-cliquez sur DNS Suffix Search List et renseignez les noms des suffixes DNS. Prenez
soin dindiquer en premier le suffixe de la fort o sapplique la GPO :

23

Une fois la stratgie applique, vos postes clients doivent avoir la configuration DNS suivante
dans leurs paramtres TCP/IP :

3.4 Cration dune relation dapprobation externe

3.4.1 Depuis un Windows Server 2003 R2
Depuis le contrleur de domaine 2003 de la fort Mairie :
Ouvrez la console Active Directory Domains and Trusts
Clic droit sur le domaine Mairie.com > Properties > Trusts > New trust
Lassistant suivant se lance :

24

Indiquez le nom de la fort avec laquelle vous souhaitez crer une relation dapprobation
externe (en loccurrence Agglo.com ) :

Indiquez quil sagit dune relation bidirectionnelle :

25

Si vous souhaitez que la relation externe soit cre automatiquement dans les deux forts,
choisissez la deuxime option. Dans le cas contraire, il faudra crer manuellement chaque
relation pour chacune des forts :

Indiquez les identifiants pour le domaine Agglo :

26

Il est possible de spcifier que seuls les utilisateurs autoriss puissent sauthentifier sur le
domaine distant. Dans notre cas, nous choisirons dautoriser tous les utilisateurs du domaine
distant :

Il en est de mme pour ceux du domaine local :

27

Un cran vous rsume les actions qui vont tre effectues :

A la suite, une fentre vous confirme que la cration de la relation sest bien droule :

Confirmez ensuite deux reprises les approbations sortantes et entrantes :

28

Avant de quitter lassistant, prenez note du message concernant le SID filtering

3.4.2 Depuis un Windows Server 2008 R2

Depuis le contrleur de domaine 2008 de la fort Agglo :
Ouvrez la console Active Directory Domains and Trusts
Clic droit sur le domaine Agglo.com > Properties > Trusts > New trust
Lassistant suivant se lance :

29

Indiquez le nom de la fort avec laquelle vous souhaitez crer une approbation de fort (en
loccurrence Mairie.com :

Indiquez quil sagit dune relation dapprobation externe :

30

Indiquez quil sagit dune relation bidirectionnelle :

Si vous souhaitez que la relation externe soit cre automatiquement dans les deux forts,
choisissez la deuxime option. Dans le cas contraire, il faudra crer manuellement chaque
relation pour chacune des forts :

31

Indiquez les identifiants pour le domaine Mairie :

Il est possible de spcifier que seuls les utilisateurs autoriss puissent sauthentifier sur le
domaine distant. Dans notre cas, nous choisirons dautoriser tous les utilisateurs du domaine
distant :

32

Il en est de mme pour ceux du domaine local :

Un cran rcapitulatif rsume les actions qui vont tre effectues :

33

A la suite, une fentre vous confirme que la cration de la relation sest bien droule :

Confirmez ensuite deux reprises les approbations sortantes et entrantes :

Avant de quitter lassistant, prenez note du message concernant le SID filtering

34

3.5 Vrifications
Pour visualiser et vrifier que la relation dapprobation raccourcie a bien t cre :
Ouvrez la console Active Directory Domains and Trusts
Clic droit sur le domaine de votre choix > Properties > Trusts
o Depuis la console de la fort Mairie , vous obtenez les informations suivantes :

o Idem depuis la console de la fort Agglo :

Vous pouvez galement excuter la commande suivante pour vrifier la relation :

netdom trust agglo.com /domaine:mairie.com /verify

35

4. Approbations de forts
Apparue avec Windows Server 2003, ce type dapprobation permet tous les domaines dune fort
dapprouver de manire transitive tous les domaines dune autre fort. Cette relation peut tre uniou bidirectionnelle. Notez que tous vos domaines devront tre au moins en niveau fonctionnel 2003
pour utiliser ce type de relation. Source

Approbation de fort : source

Quant crer une approbation de fort : source

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :

m.decrevoisier A-R-0-B-A-5 outlook. com

Soyez-en dores et dj remerci

36