Interagir sur Active Directory avec DSGET, DSQUERY et DSMOD

Requêter ou modifier automatiquement Active Directory à partir de lignes de commandes est très utile pour obtenir instantanément des informations globales sur les utilisateurs plutôt que de les rechercher ou les modifier graphiquement via une MMC, ce qui est purement et simplement un gouffre de temps. Rappelez-vous que le but de l’administrateur est toujours de se simplifier la vie dès que possible.

Prenons quelques exemples. Premièrement, pour savoir qui n’a pas de klogon utilisé dans un groupe donné d’une société donnée, on tape la commande suivante dans une invite de commande :

C:>dsget group "CN=GRPG-XitimCorp,OU=Groupes,DC=xitim,DC=com" -members -s srv-2003
|dsget user -samid -loscr -s srv-2003>c:export.txt

Remarquez que l’on renvoie le résultat de la commande dans un fichier texte export.txt qu’on écrit à la racine de C:. Cela évite un potentiel remplissage massif et illisible de votre output DOS et vous permettra au besoin de vous servir des données du fichier ainsi exporté pour ensuite les importer – pourquoi pas – dans un fichier CSV à tabulations…

Autre exemple, pour savoir les utilisateurs qui ont un répertoire de base et dont le compte est désactivé on tape :

C:>dsget group "CN=GRPG-XitimCorp,OU=Groupes,DC=xitim,DC=com" -members -s srv-2003
|dsget user -samid -hmdir -disabled -s srv-2003>c:export2.txt

Dernier exemple, pour récupérer tous les noms, prénoms et bureaux de chaque employé d’une société, on tape la commande suivante :

dsget group "CN=GRPG-XitimCorp,OU=Groupes,DC=xitim,DC=com" -members -s srv-2003
|dsget user -fn -ln -office -s srv-2003>c:export3.txt

Comment fonctionnent ces commandes ?

dsget group récupère la liste des membres du groupe choisi dans une arborescence d’OU de l’annuaire LDAP. Cette liste est redirigée à dsget user (via le pipe) qui récupère à son tour les informations en y ajoutant des arguments Active Directory.

Voici un panel non exhaustif d’arguments quasi indispensables dans l’exploitation quotidienne…

[table id=20 /]

Modifier Active Directory

Avec les exemples ci-dessous, on ajoute un utilisateur et/ou une machine à un groupe spécifié. Bien évidemment, on pourrait ajouter 1000 personnes ou ordinateurs d’un coup et utiliser des wildcards pour pousser l’automatisation un cran plus loin. Notez que pour modifier votre annuaire, ces commandes seront une base de travail fondamentale, afin de créer, notamment, des groupes dynamiques.

Exemple : ajout de l’utilisateur john doe au groupe zorro

C:>dsquery user "CN=john doe,OU=Test,DC=xitim,DC=com"
| dsmod group "CN=zorro,OU=Test,DC=xitim,DC=com" -addmbr
dsmod réussi:CN=zorro,OU=Test,DC=xitim,DC=com

Exemple : ajout de la machine VM-XPSP2 au groupe zorro

C:>dsquery computer "CN=VM-XPSP2,OU=Test,DC=xitim,DC=com"
| dsmod group "CN=zorro,OU=Test,DC=xitim,DC=com" -addmbr
dsmod réussi:CN=zorro,OU=Test,DC=xitim,DC=com

Pour en savoir plus, je vous invite à consulter les pages dédiées de DSGET et DSQUERY sur le site de Microsoft.

Monitorer simplement et efficacement des flux réseau avec Dartware InterMapper

InterMapper fait partie de ces logiciels indispensables tant les possibilités de tuning qu’il offre ne se limitent qu’à l’imagination de l’administrateur réseau qui le configure. Même si les fonctionnalités sont très complexes dès que l’on rentre dans les arcanes du produit, quelques réglages de bon sens vous feront gagner beaucoup de temps dans l’analyse réseau quotidienne. C’est ce que l’on va tenter de voir avec quelques astuces concernant le monitoring de deux serveurs de test.

Pour commencer, créez une map vierge (File > New Map) à partir de la fenêtre Map List

Choisissez la méthode Manual Entry pour pouvoir ajouter vos serveurs tests comme bon vous semble. Bien évidemment, pour vos besoins vous pourrez choisir Autodiscovery afin de scanner automatiquement vos sous-réseaux ou Import a file pour récupérer des maps déjà créées (via des fichiers séparés par tabulation ou XML) .

Une fois dans votre map, ajoutez des serveurs au choix. Pour l’exemple, on en ajoute deux (Red Hat Linux) dans le réseau 192.168.100.0 et on clique sur le bouton Choose… pour sélectionner la façon de communiquer avec ces serveurs.

La sélection d’une sonde InterMapper reprend des éléments connus tels que le ping ou le SNMP, mais également des sondes spécifiques constructeurs (Apple, Juniper etc…) et des objets WMI Windows. Le choix est vaste, je vous invite à vous pencher dessus pour affiner vos remontées. Ici, on s’attèlera à choisir SNMP Traffic vu que c’est un protocole très bavard qui nous aidera facilement à monitorer les flux. Pour débuter, choisissez SNMPv1 sur le port 161 (v2 et v3 sont plus contraignantes mais si savez vous en servir vous y gagnerez)

Après quelques secondes, voilà vos devices ajoutés et un sous-réseau automatiquement créé. Le logiciel est développé afin d’avoir une information visuelle rapide. C’est immédiatement vérifiable par l’illustration ci-dessous dans laquelle un des serveurs ne répond pas en SNMP, très probablement à cause d’une mauvaise configuration du daemon.

En faisant un clic droit > Status Window sur l’objet, vous obtiendrez plus d’informations, dont la mention du problème tout en bas de la fenêtre.

A présent, cliquez droit > Set  Link Speed sur le lien réseau de vos objets respectifs et ajustez les valeurs TX/RX à 100M. A l’heure où les connexions des serveurs se font au minimum en gigabit Ethernet, vous vous demandez sûrement pourquoi régler la vitesse aussi bas ? Eh bien tout simplement parce-qu’il y a très peu de serveurs capables de consommer 1Go en permanence, loin de là ! L’idée sous-jacente est de monitorer les liens avec des valeurs assez basses pour déterminer si elles suffisent ou si la consommation est telle qu’il faut augmenter le seuil. C’est également un moyen très basique de déterminer un potentiel problème de charge sur vos serveurs.

Pour continuer l’analyse, vous pouvez également utiliser les charts (des graphiques) qui permettent l’historisation de la charge réseau grâce au SNMP. Créer un chart est très facile. Retournez dans la fenêtre Status Window d’un serveur dont le SNMP fonctionne et dans la partie Interface Statistics cliquez sur la valeur du champ Utilization. Cela a pour effet de créer un chart générique qui remonte l’utilisation de l’interface vswif0 pour le serveur SRV-TEST2 (carré rouge).

A partir de là, choisissez les valeurs qui vous intéressent en faisant un glisser/déposer de ces valeurs directement dans le graph. Ce qui nous intéresse ici, c’est le pourcentage d’utilisation de Transmit Statistics et Receive Statistics. On va donc les faire glisser dans le graphique. L’illustration ci-dessous montre que la valeur Transmit Statistics a déjà été glissée et se matérialise par un carré bleu.

Ensuite, pour personnaliser le chart, cliquez sur le triangle en bas à gauche du graph et choisissez le menu contextuel Chart Options… Notez au passage le carré jaune qui signifie que la valeur Receive Statistics a à son tour été ajoutée.

La personnalisation du chart peut être assez fine mais pour cet exemple-ci, nous nous astreindrons seulement à décocher la case Auto-adjust donc le but est d’écrêter les valeurs.

Vous êtes maintenant prêt à analyser la charge de vos serveurs, le tout en quelques clics. Ne reste plus qu’à laisser tourner le polling SNMP (par exemple toutes les 5 minutes) et à suivre l’évolution du chart. Ci-dessous, une illustration d’une charge ayant entraîné une crête à 1h10 du matin. A vous d’analyser si elle est ponctuelle ou non, quelle a été la bande passante maximale utilisée, etc etc…

Gérer les licences Terminal Server (TSE) sous Windows Server 2003

La gestion des licences Terminal Server a changé entre Windows Server 2000 et 2003. Alors qu’auparavant le mode de licence était unique (licences d’accès client par périphérique) et imposait le stockage de la licence d’accès dans la base de registre locale de l’utilisateur, Windows Server 2003 permet quant à lui un nouveau mode : les licences d’accès par utilisateur, ce qui autorise un utilisateur à se connecter à un nombre illimité de ressources dans le LAN.

Les licences d’accès client utilisateur ne peuvent être installées que sur un serveur qui fera office de gestionnaire de licences Terminal Server (souvent un contrôleur de domaine). Il va de soi que dans le cas où le réseau comporte un parc mixte Windows Server 2000 et 2003, il conviendra d’installer des licences d’accès par périphérique nécessaires.

Via la MMC Gestion des licences Terminal Server présente dans les Outils d’administration, on peut obtenir des informations sur les licences courantes sans être connecté directement au gestionnaire de licences. Ci-dessous, on a pris l’exemple d’un parc mixte où certaines licences temporaires sont d’ailleurs à régulariser par des achats ou des reconfigurations.
Notez également le point d’interrogation sur le serveur de licences TSE. Cela ne signifie pas forcément que la machine est inaccessible. Ici, c’est simplement le compte Active Directory qui n’a pas de droits suffisants pour la gérer.

Pour aller au bout de l’exemple, voici la même capture avec un compte administrateur du domaine. Vous remarquez à présent que le serveur TSE est bien validé.

Définir un mode de licence Terminal Server

A chaque activation de l’accès bureau à distance d’un serveur, on doit s’assurer d’une part que l’on possède les licences d’accès nécessaires et d’autre part que les paramètres du serveur Terminal Server sont corrects. Connectez-vous pour cela à la MMC Configuration des services Terminal Server dans les Outils d’administration et rendez-vous dans le panneau de droite du dossier Paramètres du serveur. Repérez maintenant la clé Licence et modifiez au besoin l’attribut (Par périphérique ou Par utilisateur). Vous pouvez effectuer cette modification à tout moment, dans le sens où elle n’impose pas de redémarrage du serveur et ne bloquera pas vos accès grâce à l’établissement de licences temporaires si le mode de licence s’avérait être erroné.

De même, si vous veniez à ne pas régulariser vos licences, un message s’afficherait peu avant de bloquer l’accès jusqu’à ce que vous fassiez le nécessaire.

Pour obtenir plus d’informations sur la gestion des licences Terminal Server, je vous invite à consulter le KB Microsoft 822134.